Konfigurieren des Access Gateway
Contents
1. 60 Installieren mehrerer Stammzertifikate 2222202 annaa 61 Konfigurieren weiterer Netzwerkeinstellungen 000 000 eee eee 62 Konfigurieren von Namensdienstanbietern 20 00 00 ee eee eee 62 Bearbeiten der HOSTS Datei 0 ec ccc eens 63 Konfigurieren von dynamischen und statischen Routen 64 Konfigurieren von Datum und Uhrzeit auf dem Access Gateway 70 Konfigurieren eines NTP Servers 1 2 0 2 0 e eee e eee eee e eens 70 Verwenden der Standardportalseite 0 0 0 eect eee eee 71 Installieren des Secure Access Client f r Linux 22 2 22222200 74 Konfigurieren des Netzwerkzugriffs 22222022 cseeseeeeeeennnn 74 5 Citrix Access Gateway Standard Edition Administratorhandbuch Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung Voraussetzungen zum Konfigurieren der Authentifizierung auf dem Access Gateway ice a ee acd ai gaa bette il greece he Biden gO ae a a Rugnane ri 78 Konfigurieren der Authentifizierung auf dem Access Gateway 78 Konfigurieren des Bereichs Default 22222ceseeseeeeeeneen nn 80 Erstellen von zus tzlichen Bereichen 0 0 cece eee eee eee 82 Konfigurieren der lokalen Authentifizierung 0 0 00 cece eee ee 83 Konfigurieren lokaler Benutzer cece cece eee nes 84 Zuweisen von Benutzern zu mehreren Gruppen 000 0 eee ee 85 ndern2. logisches NICHT Bei Benutzern ohne Administratorrechte schlagen die Endpunktrichtlinien fehl wenn die Richtlinie eine Datei in einer eingeschr nkten Zone z B C Dokumente und Einstellungen Administrator oder einen eingeschr nkten Registrierungsschl ssel enth lt Wenn ein Benutzer mehreren Gruppen angeh rt besteht die f r den Benutzer geltende Endpunktrichtlinie aus der Kombination der Ausdr cke f r die einzelnen Gruppen des Benutzers So konfigurieren Sie eine Endpunktrichtlinie f r eine Gruppe 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf End Point Policies und klicken Sie dann auf New End Point Policy 3 Geben Sie einen Namen ein und klicken Sie auf OK Erstellen Sie nach der Erstellung der Richtlinie den Ausdruck indem Sie die End punktressourcen per Drag amp Drop auf den Expression Builder ziehen So konstruieren Sie einen Endpunktrichtlinienausdruck 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf eine Endpunktrichtlinie und klicken Sie auf Properties Die Eigenschaftenseite wird ge ffnet und der Ressourcenbereich wird nach links verschoben 3 Klicken Sie unter End point policy expression auf Automatically build expression Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 135 4 Ziehen Sie eine Ressource in
3. Schritt 8 ffnen der entsprechenden Ports in den Firewalls auf Seite 244 Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung auf Seite 246 F r die Bereitstellung erforderliche Komponenten Bevor Sie mit der Bereitstellung einer Double Hop DMZ beginnen m ssen die folgenden Komponenten vorhanden sein Mindestens zwei Access Gateway Ger te ein Ger t pro DMZ m ssen vorhanden sein Wenn Sie zur Unterst tzung von Lastausgleich mehrere Ger te in jeder DMZ installieren m chten sind weitere Access Gateway Ger te erforderlich Weitere Informationen hierzu finden Sie unter Unterst tzen von Lastausgleich auf Seite 229 Die Server auf denen Citrix Presentation Server ausgef hrt wird m ssen im internen Netzwerk installiert und betriebsbereit sein Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 235 Das Webinterface muss in der zweiten DMZ installiert und fiir den Betrieb mit der Serverfarm im internen Netzwerk konfiguriert sein Es muss mindestens ein SSL Serverzertifikat vorhanden sein um es auf dem Access Gateway in der ersten DMZ zu installieren Dieses Zertifikat gew hrleistet dass die Verbindungen vom Webbrowser und Presentation Server Client zum Access Gateway verschl sselt werden Wenn Sie Verbindungen zwischen den anderen Komponenten einer Double Hop DMZ Bereitstellung verschl sseln m chten sind weitere Zertifikate erforderlich
4. Hinweis Wenn das auf dem Access Gateway installierte digitale Zertifikat nicht von einer Zertifizierungsstelle signiert ist wird eine Sicherheitswarnung angezeigt Weitere Informationen finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 und Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 291 Wenn die Verbindung hergestellt ist wird kurz ein Statusfenster angezeigt und das Secure Access Client Fenster wird auf ein Symbol im Infobereich der Task leiste minimiert Das Symbol zeigt an ob die Verbindung aktiviert oder deakti viert ist und es blinkt w hrend Aktivit ten stattfinden So zeigen Sie die Secure Access Client Statuseigenschaften an Doppelklicken Sie im Infobereich auf das Secure Access Client Verbindungs symbol Sie k nnen stattdessen auch mit der rechten Maustaste auf das Symbol klicken und im Kontextmen den Befehl Eigenschaften w hlen Das Dialogfeld Citrix Secure Access Client wird angezeigt Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 157 Die Verbindungseigenschaften enthalten n tzliche Informationen f r die Problembehandlung Hierzu geh ren z B folgende Eigenschaften Die Registerkarte Allgemein enth lt Verbindungsinformationen e Auf der Registerkarte Details finden Sie Serverinformationen und eine Liste der gesicherten Netzwerke auf die der Client zugreifen kann Die Registerkarte Zugriffslisten enth lt
5. Konfigurieren der RSA SecurlD Authentifizierung Wenn Ihre Site einen RSA ACE Server und RSA SecurlD f r die Authentifizie rung verwendet k nnen Sie das Access Gateway f r die Authentifizierung des Benutzerzugriffs mit dem RSA ACE Server konfigurieren Das Access Gateway agiert dann als RSA Agenthost der sich im Namen der Benutzer authentifiziert die zum Anmelden den Secure Access Client verwenden Auf dem Access Gateway k nnen mehrere RSA Bereiche konfiguriert werden Alle RSA Bereiche m ssen die Datei sdconf rec verwenden und auf den gleichen RSA ACE Server verweisen Das Access Gateway unterst tzt RSA ACE Server Version 5 2 und h her Au er dem werden auch Replikationsserver unterst tzt Die Replikationsserverkonfigu ration wird auf dem RSA ACE Server vorgenommen und ist Teil der Datei sdconf rec die auf das Access Gateway hochgeladen wird Wenn dies auf dem RSA ACE Server konfiguriert ist versucht das Access Gateway eine Verbindung zu den Replikationsservern herzustellen falls es zu einem Ausfall oder Verlust der Netzwerkverbindung mit dem prim ren Server kommt Hinweis Wenn Sie einen RADIUS Server auf einem RSA Server ausf hren konfigurieren Sie die RADIUS Authentifizierung wie unter Konfigurieren von RADIUS Authentifizierung und Autorisierung auf Seite 95 beschrieben Wenn ein Benutzer sich nicht auf dem RSA ACE Server befindet oder wenn die Authentifizierung auf diesem Server fehlschl gt berpr f
6. 3 Folgen Sie den Anweisungen im Installationsassistenten um das Administration Tool zu installieren 4 Klicken Sie zum Starten des Administration Tools auf Start gt Programme gt Citrix gt Access Gateway Administration Tool 4 5 gt Access Gateway Administration Tool 4 5 oder klicken Sie auf das Symbol auf dem Desktop 5 Geben Sie im Dialogfeld Administrator Login unter Host IP or FQDN die IP Adresse des Access Gateways ein 6 Geben Sie im Feld Administrator Username als Benutzernamen root ein 7 Geben Sie im Feld Administrator Password das Standardkennwort rootadmin oder das neue Kennwort ein wenn es mit der seriellen Konsole oder dem Administration Portal ge ndert wurde Installieren mehrerer Versionen des Administration Tools Wenn Sie in Ihrem Netzwerk mehrere Ger te haben und es sich dabei um ver schiedene Versionen handelt k nnen Sie mehrere Instanzen des Administration Tools auf Ihrem Computer installieren Der Grund hierf r ist dass fr here Versionen des Administration Tools nicht mit dieser Access Gateway Version verwendet werden k nnen Mit dem Administration Tool dieser Version k nnen au erdem fr here Versionen des Access Gateways nicht verwaltet werden Auf der Registerkarte Access Gateway Cluster k nnen Sie auf der Registerkarte Statistics herausfinden welche Version des Tools Sie verwenden Administration Portal Das Administration Portal bietet eine webbasierte Benutzeroberfl che f r Admi
7. Access Gateway Konnektivitat in der DMZ Wenn Sie das Access Gateway in der DMZ bereitstellen m ssen die Clientver bindungen die Firewall tiberwinden um eine Verbindung zum Access Gateway herstellen zu k nnen Standardm ig erfolgt diese Verbindung mit SSL Secure Sockets Layer an Port 443 Damit diese Verbindung m glich ist m ssen Sie die Verwendung von SSL an Port 443 durch die erste Firewall zulassen Hinweis Sie k nnen den Port ndern ber den die Clients eine Verbindung zum Access Gateway aufbauen Bearbeiten Sie hierzu die Porteinstellung im Administration Tool Weitere Informationen zu dieser Porteinstellung finden Sie unter Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln auf Seite 45 Das Access Gateway entschl sselt die SSL Verbindungen vom Client und baut stellvertretend f r den Client eine Verbindung zu den Netzwerkressourcen hinter der zweiten Firewall auf Die Ports die f r den Durchgang durch die zweite Fire wall ge ffnet sein m ssen sind abh ngig von den Netzwerkressourcen f r deren Zugriff die externen Benutzer autorisiert sind Wenn Sie beispielsweise die externen Benutzer f r den Zugriff auf einen Web server im internen Netzwerk autorisieren und der Server Port 80 nach HTTP Verbindungen abh rt muss entsprechend HTTP an Port 80 durch die zweite Firewall zugelassen werden Stellvertretend f r die externen Clients stellt das Access Gateway die Verbindung durch die zweite Fir
8. Benutzer werden zu einer Anmeldeseite geleitet auf der sie zum Starten des Secure Access Clients aufgefordert werden In den Gruppeneigenschaften der Standardgruppe bzw der Gruppe mit der h ch sten Priorit t des Benutzers ist auf der Registerkarte Gateway Portal die Option Use the multiple logon option page aktiviert Wenn Sie dem Benutzer keinen Zugriff auf den Secure Access Client geben m chten deaktivieren Sie dieses Kontrollk stchen Weitere Informationen hierzu finden Sie unter Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen auf Seite 190 So deaktivieren Sie die Seite mit mehreren Anmeldeoptionen 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf eine Gruppe und klicken Sie dann auf Properties 2 Deaktivieren Sie auf der Registerkarte Gateway Portal die Option Use the multiple logon option page 3 Klicken Sie auf OK Anhang D Problembehandlung beim Access Gateway 333 Sonstige Probleme In diesem Abschnitt werden bekannte Probleme die im Zusammenhang mit dem Access Gateway auftreten sowie entsprechende L sungsvorschlage beschrieben Lizenzdatei stimmt nicht mit dem Access Gateway uberein Wenn Sie versuchen eine Lizenzdatei auf dem Access Gateway zu installieren wird die Fehlermeldung License file does not match any Access Gateway s angezeigt Auf dem Access Gateway ist dann bereits eine Lizenzdatei installiert Wenn Sie eine neue Lizenzdat
9. Hinweis Sie k nnen der Liste mehrere Server hinzuf gen auf denen die Secure Ticket Authority ausgef hrt wird Die im Webinterface aufge listeten Secure Ticket Authoritys m ssen mit den Secure Ticket Authoritys bereinstimmen die auf dem Access Gateway konfiguriert sind 5 Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie mit der rechten Maustaste entweder auf die Standardbenutzergruppe oder eine andere Gruppe und klicken Sie auf Properties 6 Klicken Sie auf die Registerkarte Gateway Portal Klicken Sie auf Redirect to Web Interface 214 Citrix Access Gateway Standard Edition Administratorhandbuch 7 Geben Sie im Feld Path einen Schr gstrich nichts oder die Webadresse ein an die das Access Gateway Proxy HTTP Anforderungen senden soll z B Citrix MetaFrame auth Login aspx Wenn dieses Feld leer gelassen oder wenn ein Schr gstrich eingegeben wird wird die Webinterface Standardseite verwendet 8 Geben Sie unter Web server die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein an den die Anforderungen umgeleitet werden sollen Dies sollte die IP Adresse des Servers sein auf dem das Webinterface ausgef hrt wird Klicken Sie auf OK Importieren Sie nach der Konfiguration des Access Gateways ein Serverzerti fikat um eine Verbindung zur Secure Ticket Authority und zum Webinterface herstellen zu k nnen Dies ist erforderlich damit Presentation Server Clients eine Verbin
10. Sie k nnen die Verbindung eines Benutzers deaktivieren und nachfolgende Anmeldungen durch diesen Benutzer an der aufgef hrten MAC Adresse verhindern Der Benutzer kann sich dann von einer anderen MAC Adresse aus anmelden Sie k nnen eine Kombination aus Benutzername MAC Adresse erneut aktivieren Verarbeitung von Verbindungen im Access Gateway Wenn ein Benutzer pl tzlich die Verbindung zum Netzwerk trennt oder den Computer in den Ruhezustand oder Standby Modus versetzt wird die Verbin dung zum Access Gateway nach 10 Minuten getrennt Aufgrund dieses Verhaltens ist Folgendes zu beachten Es kann passieren dass der Benutzer im Access Gateway Real time Monitor weitere 10 Minuten lang als aktiv angezeigt wird Erst danach wird die Verbindung getrennt Der inaktive Benutzer belegt so lange eine Lizenz bis diese Wartezeit abgelaufen und die Verbindung geschlossen ist Wird eine Verbindung getrennt wird die Lizenz nach 30 Sekunden freigegeben Diese Wartezeit gilt nicht bei Verbindungen die ber den Real time Monitor getrennt werden Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 175 Schlie en einer Verbindung zu einer Ressource Sie k nnen die Verbindung eines Benutzers mit einer bestimmten Ressource vor bergehend schlie en ohne dessen Verbindung zu unterbrechen Um zu verhindern dass der Benutzer wieder eine Verbindung zur Ressource herstellt sollten Sie die Zugriffssteuerungsliste
11. So erstellen Sie eine Prozessregel 1 Klicken Sie auf Process rule 2 Geben Sie unter Process Name den Namen des Prozesses ein oder klicken Sie auf Browse um zu dem Prozess zu navigieren Wenn ein Prozessname eingegeben ist wird das Feld MD5 automatisch ausgef llt Klicken Sie auf OK Hinweis Informationen zum Hinzuf gen einer Endpunktrichtlinie zu einer Benutzergruppe finden Sie unter Erstellen einer Endpunktrichtlinie f r eine Gruppe auf Seite 133 Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 133 So erstellen Sie eine Dateiregel 1 Klicken Sie auf File rule 2 Geben Sie unter File name den Pfad und den Dateinamen ein oder klicken Sie auf Browse um zu der Datei zu navigieren 3 Wenn ein Dateiname eingegeben ist wird das Feld MD5 automatisch ausgef llt 4 Geben Sie unter Date das Datum ein Verwenden Sie dazu das folgende Format MM TT JJJJ Dies ist das Datum an dem die Datei erstellt wurde Klicken Sie auf OK So erstellen Sie eine Registrierungsregel 1 Klicken Sie auf Registry rule 2 Geben Sie unter Registry path den Pfad ein und w hlen Sie einen Schl sseltyp aus 3 Geben Sie unter Registry entry den Schl sselnamen ein 4 Geben Sie unter Registry value den Wert ein auf den der Schl ssel gesetzt werden muss und klicken Sie aufOK So l schen Sie eine Endpunktressource l Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit
12. Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 75 Schritt 2 Konfigurieren der Authentifizierung und Autorisierung Mit der Authentifizierung wird definiert wie die Benutzer sich anmelden die Konfigura tion erfolgt mit Bereichen Die folgenden Authentifizierungsarten stehen zur Auswahl lokal NTLM LDAP RADIUS RSA SecurlD und SafeWord Bei der Autorisierung stehen die folgenden Optionen zur Verf gung lokal LDAP RADIUS NTLM keine Autorisierung Weitere Informationen zur Konfiguration der Authentifizierung und Autorisierung finden Sie unter Konfigurieren der Authentifizierung und Autorisierung auf Seite 77 Schritt 3 Konfigurieren von Benutzergruppen Benutzergruppen kommen im Zusammenhang mit der Autorisierung zum Einsatz Wenn die Benutzer ihre Verbindungen beispielsweise ber LDAP herstellen legen Sie einen LDAP Autorisierungsbereich an und erstellen Sie dann eine Gruppe Die Namen der Benutzergruppen m ssen mit den Namen dieser Gruppen auf dem LDAP Server bereinstimmen Dar ber hinaus k nnen Sie lokale Benutzer zur lokalen Authen tifizierung auf dem Access Gateway anlegen Die lokalen Benutzer werden dann Benutzergruppen hinzugef gt Weitere Informationen zum Konfigurieren lokaler Benutzer finden Sie unter Konfigurieren lokaler Benutzer auf Seite 84 Schritt 4 Konfigurieren des Netzwerkzugriffs f r Gruppen Konfigurieren Sie den Netzwerkzugriff f r die erstellten Benutzergruppen Hi
13. Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 123 Konfigurieren von Ressourcen fur eine Benutzergruppe Ressourcen fiir Benutzergruppen werden im rechten Bereich der Registerkarte Access Policy Manager konfiguriert Zu den Ressourcen geh ren Network Resources Netzwerkressourcen Application Policies Anwendungsrichtlinien File Share Resources Dateifreigaberessourcen Kiosk Resources Kioskressourcen End Point Resources Endpunktressourcen End Point Policies Endpunktrichtlinien e Pre Authentication Policies Vorauthentifizierungsrichtlinien Nachdem Sie die Einstellungen konfiguriert haben ziehen Sie die Ressource auf die Gruppe im linken Bereich Beispiel Sie haben eine Netzwerkressource konfi guriert und gespeichert in der die Netzwerke angegeben sind zu denen die Benutzer eine Verbindung herstellen k nnen Wenn Sie eine Gruppe von tempo r ren Mitarbeitern haben f r die nur eingeschr nkte Rechte gelten ziehen Sie die Ressource auf diese Gruppe und legen Sie dann f r die Gruppe fest dass sie nicht die Einstellungen der Standardgruppe erben soll Sie k nnen f r jede Benutzergruppe eine Zugriffssteuerungsliste ACL erstellen indem Sie wie unter Bereitstellen von Netzwerkzugriff fiir Benutzer auf Seite 114 beschrieben die Ressourcen festlegen auf die die jeweilige Gruppe zugreifen darf Die Zugriffssteuerungslisten werden fiir alle Gruppen denen die Benutzer ang
14. ein und klicken Sie auf OK 4 Suchen und markieren Sie die E Mail Anwendung die sich auf dem Server mit der IP Adresse 10 10 25 50 32 befindet Im Feld MD5 wird automatisch die Bin rsumme der Anwendung eingetragen 324 Access Gateway Standard Edition Administratorhandbuch Klicken Sie im linken Bereich auf die soeben erstellte Netzwerkressource E Mail Server und ziehen Sie diese auf Application network policies unter dem Eintrag Application Policies im rechten Bereich Klicken Sie auf OK Erweitern Sie im linken Bereich die Benutzergruppen Vertriebsau en dienst und AuBendiensttechniker Klicken Sie im rechten Bereich unter Application Policies auf die E Mail Anwendungsrichtlinie und ziehen Sie diese auf Application Policies unter der Benutzergruppe VertriebsauBendienst im linken Bereich sodass die Anwendungsrichtlinie ein Bestandteil der Zugriffs steuerungsliste f r Au endienstmitarbeiter im Vertrieb ist Klicken Sie im rechten Bereich unter Application Policies auf die E Mail Anwendungsrichtlinie und ziehen Sie diese auf Application Policies unter der Benutzergruppe Au endiensttechniker im linken Bereich sodass die Anwendungsrichtlinie ein Bestandteil der Zugriffs steuerungsliste f r Au endiensttechniker ist Hinweis Bei der oben beschriebenen Vorgehensweise k nnte der Administrator der Anwendungsrichtlinie auch eine anwendungsspezifische Endpunktrichtlinie hinzuf
15. 2 Klicken Sie auf die Registerkarte Authorization und w hlen Sie unter Authorization type die Option RADIUS authorization 3 Vervollst ndigen Sie die Einstellungen mit den im IAS definierten Attributen 4 Klicken Sie auf Submit Hinweis Wenn Sie den Microsoft Internetauthentifizierungsdienst IAS als RADIUS Server verwenden und beim Senden einer Anforderung an den konfigurierten RADIUS Server durch das Access Gateway eine Fehlermeldung erhalten wonach der Benutzername oder das Kennwort ung ltig ist w hlen Sie in den IAS RAS Richtlinien unter den Eigenschaften f r die jeweilige Richtlinie auf der Registerkarte Authentifizierung die Option Unverschl sselte Authentifizierung PAP SPAP Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 99 Auswahlen der RADIUS Authentifizierungsprotokolle Das Access Gateway unterst tzt Implementierungen von RADIUS die f r die Verwendung des Password Authentication Protocol PAP zur Benutzerauthenti fizierung konfiguriert wurden Andere Authentifizierungsprotokolle wie Chal lenge Handshake Authentication Protocol CHAP werden nicht unterstiitzt Wenn Ihre Access Gateway Bereitstellung fiir die Verwendung der RADIUS Authentifizierung und Ihr RADIUS Server ftir die Verwendung von PAP konfi guriert ist k nnen Sie eine st rkere Benutzerauthentifizierung erreichen indem Sie dem RADIUS Server einen starken gemeinsamen geheimen Schl ssel zuwei sen Starke geme
16. Access Gateway Standard Edition Administratorhandbuch Wenn sich ein Benutzer am Access Gateway anmeldet leitet das Access Gateway diese Netzwerkliste an den Secure Access Client auf dem Computer des Benutzers weiter Der Secure Access Client verwendet die Liste als Filter um festzulegen welche ausgehenden Pakete an das Access Gateway und welche Pakete anderweitig weitergeleitet werden sollen Der Secure Access Client leitet nur die f r das Access Gateway bestimmten Pakete ber den sicheren Tunnel an das Access Gateway weiter Hinweis Wenn Split Tunneling nicht unterst tzt werden soll er brigt sich das Konfigurieren der zug nglichen Netzwerke So konfigurieren Sie zug ngliche Netzwerke l BD ffnen Sie das Administration Tool Klicken Sie auf die Registerkarte Global Cluster Policies Aktivieren Sie bei Bedarf die Option Enable split tunneling Geben Sie im Feld Accessible networks alle internen Netzwerke ein auf die das Access Gateway zugreifen muss Trennen Sie die einzelnen Netz werkeintr ge durch ein Leerzeichen oder einen Zeilenumbruch voneinan der Bei diesem Zugriffsszenario w rde der Administrator die folgenden Eingaben machen 10 10 0 0 24 10 60 10 0 24 Aktivieren Sie das Kontrollk stchen Enable logon page authentication Bei dieser Einstellung m ssen sich die Benutzer authentifizieren wenn sie ber einen Webbrowser auf die Portalseite des Access Gateways zugreifen Zur Vereinfachung die
17. auf Seite 52 Wichtig Der Hostname in der Lizenzdatei muss genau inklusive Gro und Kleinschreibung mit dem Hostnamen auf dem Access Gateway berein stimmen Wenn Sie Access Gateway Advanced Edition verwenden wird die Lizenzierung vom Citrix Lizenzserver bernommen Weitere Informationen zur Lizenzierung von Access Gateway Advanced Edition finden Sie im Citrix Access Suite Lizen zierungshandbuch und im Administratorhandbuch f r Access Gateway Advanced Edition Abrufen der Lizenzdateien Nach erfolgter Installation des Access Gateways k nnen Sie Ihre Lizenzdateien von Citrix abrufen Rufen Sie hierzu die Website http www mycitrix com auf greifen Sie dort auf Ihre verf gbaren Lizenzen zu und erstellen Sie eine Lizenz datei Laden Sie die erstellte Lizenzdatei auf den Computer herunter auf dem das Administration Tool installiert ist Anschlie end k nnen Sie die Lizenzdatei auf das Access Gateway hochladen Halten Sie beim Aufrufen der Citrix Website die folgenden Angaben bereit Lizenzcode Den Code finden Sie auf der Access Gateway CD in der E Mail von Citrix oder im Subscription Advantage Management Renewal Informations system SAMRI Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 51 Benutzer ID und Kennwort f r MyCitrix Sie k nnen sich auf MyCitrix f r dieses Kennwort registrieren Hinweis Wenn Sie diese Informationen nicht haben wenden Sie sich bitte an Citrix Custom
18. auf Seite 148 Der Secure Access Client wird auf dem Computer des Benutzers installiert Nachdem die erste Verbindung hergestellt wurde kann der Benutzer beim n chs ten Mal die Desktopverkn pfung verwenden um den Secure Access Client zu starten Im Dialogfeld Erweiterte Optionen werden die Einstellungen f r den Client computer konfiguriert Zum ffnen dieses Dialogfelds k nnen Sie auch mit der rechten Maustaste auf das Citrix Secure Access Client Symbol auf dem Desktop klicken und im Kontextmen die Option Eigenschaften w hlen Einrichten des sicheren Tunnels Nachdem der Secure Access Client gestartet wurde richtet er einen sicheren Tunnel ber den Port 443 oder jeden anderen konfigurierten Port des Access Gateways ein und sendet Authentifizierungsinformationen Nachdem der Tunnel eingerichtet wurde sendet das Access Gateway Konfigurationsinformationen an den Secure Access Client in denen beschrieben wird welche Netzwerke gesi chert werden sollen Au erdem enthalten diese Informationen eine IP Adresse sofern IP Pooling aktiviert wurde Weitere Informationen ber IP Pooling finden Sie unter Aktivieren von IP Pooling auf Seite 168 Tunneln des privaten Netzwerkverkehrs ber sichere Verbindungen Sobald der Secure Access Client gestartet und der Benutzer authentifiziert wurde wird der gesamte Netzwerkverkehr der f r die angegebenen privaten Netzwerke bestimmt ist ber den sicheren Tunnel an das Access Gateway
19. Die Daten bertragung zwischen dem Access Gateway in der ersten DMZ und der Secure Ticket Authority im internen Netzwerk erfolgt auch ber das Access Gateway in der zweiten DMZ Hinweis Der Begriff Access Gateway Proxy bezieht sich auf ein Access Gateway Ger t das in der zweiten DMZ bereitgestellt wird In diesem Kapitel werden die folgenden Themen zur Bereitstellung des Access Gateways in einer Konfiguration mit einer Double Hop DMZ behandelt Daten bertragung in einer Double Hop DMZ Konfiguration In diesem Abschnitt wird kurz erl utert wie die Daten bertragung zwischen den verschiedenen Komponenten in einer Double Hop DMZ abl uft Vorbereiten der Bereitstellung einer Double Hop DMZ In diesem Abschnitt werden die Konfigurationsaspekte erl utert die Sie vor dem Bereitstellen von Access Gateway Ger ten in einer Double Hop DMZ ber cksichtigen sollten Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 225 Erforderliche Schritte zur Bereitstellung einer Double Hop DMZ In diesem Abschnitt wird beschrieben welche Arbeitsschritte zum Bereitstellen von Access Gateway Ger ten in einer Double Hop DMZ Konfiguration erforderlich sind Herstellen einer Clientverbindung in einer Double Hop DMZ Dieser Abschnitt enth lt eine detaillierte Beschreibung der einzelnen Schritte zur Herstellung einer Clientverbindung und der Interaktion zwischen den verschiedenen Komponenten in einer Double Hop DMZ Be
20. Sie k nnen auf dem Access Gateway lokale Benutzerkonten erstellen und so die Liste der Benutzer auf den Authentifizierungsservern erg nzen So k nnen Sie beispielsweise lokale Benutzerkonten f r tempor re Benutzer wie z B Unter nehmensberater oder Besucher erstellen ohne auf dem Authentifizierungsserver einen Eintrag f r diese Benutzer erstellen zu m ssen In diesem Fall f gen Sie den Benutzer der lokalen Benutzerliste des Access Gateways hinzu Dies wird weiter unten ausf hrlicher beschrieben Wenn Sie einen Benutzer einer anderen Gruppe hinzuf gen m chten klicken Sie unter Local Users auf den Benutzer und ziehen Sie ihn auf die entsprechende Benutzergruppe Wenn der Benutzer keiner der von Ihnen auf dem Access Gateway definierten Gruppen angeh rt werden ihm die Einstellungen der Standardbenutzergruppe zugewiesen Wenn der Benutzer einer anderen Gruppe als der Standardgruppe angeh rt werden ihm nur dann die Einstellungen der Standardgruppe zugewie sen wenn seine Gruppe zur bernahme dieser Einstellungen konfiguriert wurde Weitere Informationen hierzu finden Sie unter Eigenschaften der Standard gruppe Default auf Seite 122 So erstellen Sie einen Benutzer auf dem Access Gateway 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf Local Users und klicken Sie dann auf New User Kapitel 6 Konfigurieren der Authentifizierung und Autorisieru
21. Weitere Informationen hierzu finden Sie unter Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung auf Seite 246 Installieren des Access Gateways in einer Double Hop DMZ In diesem Abschnitt werden die Arbeitsschritte erl utert die zum Bereitstellen des Access Gateways in einer Double Hop DMZ erforderlich sind Dazu z hlen die folgenden Schritte Schritt 1 Installieren eines Access Gateway Ger ts in der ersten DMZ Schritt 2 Aktivieren oder Deaktivieren der Anmeldeseitenauthentifizierung Schritt 3 Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface Schritt 4 Installieren eines Access Gateway Ger ts in der zweiten DMZ Schritt 5 Konfigurieren des Access Gateways f r die Kommunikation mit dem Access Gateway Proxy Schritt 6 Konfigurieren des Access Gateway Proxy f r die Kommunikation mit dem Access Gateway Schritt 7 Konfigurieren des Access Gateways f r den Secure Ticket Authority und ICA Datenverkehr Schritt 8 ffnen der entsprechenden Ports in den Firewalls Schritt 9 Verwalten der SSL Zertifikate 236 Citrix Access Gateway Standard Edition Administratorhandbuch Schritt 1 Installieren eines Access Gateways in der ersten DMZ Nachstehend finden Sie die Anweisungen zur Installation eines Access Gateway Ger ts in der ersten DMZ einer Double Hop DMZ und Probleme die dabei auf treten k nnen Folgen Sie den Anweisungen unte
22. Wenn der Benutzer ber den Kioskmodus angemeldet ist sendet das Access Gateway nur Bilder keine Daten ber die Verbindung Auf diese Weise besteht kein Risiko dass auf dem ffentlichen Computer tempor re Dateien oder Cookies zur ckbleiben Die tempor ren Dateien und die Cookies werden f r den Zeitraum der Sitzung im Access Gateway gespeichert 158 Citrix Access Gateway Standard Edition Administratorhandbuch Der Browser verwendet standardm ig eine Webadresse die ber das Admini stration Tool auf Gruppenbasis konfiguriert wurde Das Webbrowserfenster kann auch Symbole fiir die Remotedesktop SSH Telnet 3270 Emulator Gaim IM und VNC Clients enthalten Die Symbole werden in der linken unteren Ecke des Fensters angezeigt Die Angabe der Anwendungen erfolgt gruppenweise Weitere Informationen zur Konfiguration von Anwendungen fiir den Kioskmodus finden Sie unter Erstellen einer Kioskmodusressource auf Seite 160 Das Webbrowserfenster bietet dar ber hinaus Zugriff auf freigegebene Netzlauf werke Der Access Gateway Administrator konfiguriert die gew hrten Berechti gungen nur Lesen oder Lesen Schreiben fiir jedes freigegebene Netzlaufwerk getrennt Weitere Informationen zur Konfiguration der Netzwerkfreigaben finden Sie unter Konfigurieren von Dateifreigaben f r den Kioskmodus auf Seite 165 Die Benutzer k nnen Dateien von der Netzwerkfreigabe auf ihren Computer kopieren indem sie die Datei einfach auf das
23. Zug ngliche Netzwerke 116 Einschr nkungen 333 Konfigurationsbeispiele 315 Zugriffssteuerungsliste Access Control List ACL 123 ICA Zugriffssteuerung 214 Regeln zum Zulassen und Verweigern 128 Secure Access Client Eigenschaften 157 Zugriff ohne ACL verweigern 115 Zugriff verweigern 118 Zweimethodenauthentifizierung 110 191 3DES 20 352 Citrix Access Gateway Standard Edition Administratorhandbuch
24. hlt haben 242 Citrix Access Gateway Standard Edition Administratorhandbuch Optional Dieser Schritt ist nur erforderlich wenn Sie Access Gateway Advanced Edition bereitgestellt haben und eine Verbindung zu Advanced Access Control herstellen m chten A Aktivieren Sie die Option Advanced Access Control B Geben Sie im Feld FQDN of first appliance in DMZ required den vollqualifizierten Dom nennamen des in der ersten DMZ installierten Ger ts ein Klicken Sie auf Submit um das Access Gateway neu zu starten Hinweis N here Informationen zum Neustarten des Access Gateways finden Sie unter Neustarten des Access Gateways auf Seite 48 Wenn Sie mehrere Ger te in der zweiten DMZ installiert haben wieder holen Sie diese Schritte f r jedes Access Gateway in der zweiten DMZ Schritt 7 Konfigurieren des Access Gateways f r den Secure Ticket Authority und ICA Datenverkehr Wenn Sie das Access Gateway in einer Double Hop DMZ bereitstellen m ssen Sie das Access Gateway in der ersten DMZ f r die Kommunikation mit dem Secure Ticket Authority und ICA Datenverkehr entsprechend konfigurieren Konfigurieren Sie das Access Gateway in der ersten DMZ f r die Kommunikation mit der Secure Ticket Authority die im internen Netzwerk ausgef hrt wird Optional Erstellen Sie auf dem Access Gateway in der ersten DMZ eine ICA Zugriffssteuerungsliste um den Benutzerzugriff auf bestimmte Server zu beschr nken auf denen
25. hren und die Konfigurationsdatei speichern kann diese Datei auf fr heren Versionen des Access Gateways nicht mehr verwendet werden Wenn Sie versuchen die Konfigurationsdatei aus Version 4 5 auf eine fr here Version hochzuladen kann das Access Gateway nicht mehr verwendet werden Dar ber hinaus k nnen Sie eine kennwortgesch tzte Gruppe aus Zertifikat und privatem Schl ssel im PKCS12 Format importieren Auf diese Weise lassen sich verschl sselte und kennwortgesch tzte private Schl ssel und Zertifikate impor tieren die auf dem Access Gateway erstellt wurden Achtung Wenn Sie die Konfiguration unter Version 4 5 des Access Gateways speichern installieren Sie diese Konfiguration nicht auf fr heren Versionen des Ger ts Der Grund hierf r ist dass der private Schl ssel in Version 4 5 verschl sselt ist und ltere Versionen ihn nicht entschl sseln k nnen Dadurch wird das Ger t funktionsunt chtig Erstellen einer Zertifikatsignieranforderung Die Zertifikatsignieranforderung wird mit dem im Administration Tool enthaltenen Certificate Request Generator erstellt So erstellen Sie eine Zertifikatsignieranforderung 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Geben Sie auf der Registerkarte Certificate Signing Request die erforder lichen Informationen ein und klicken Sie dann auf Generate Request Hinweis Geben Sie in das Feld Access Gateway FODN den voll qualifiz
26. l Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf Application Policies und klicken Sie dann auf New Application Policy 3 Geben Sie einen Namen f r die Ressource ein und klicken Sie auf OK 4 Geben Sie unter Application den Namen der Anwendung ein oder klicken Sie auf Browse um zur Anwendung zu navigieren und sie auszuw hlen Im Feld MDS5 wird automatisch die Bin rsumme der Anwendung eingetragen 5 Wenn Sie die Anwendung auf bestimmte Netzwerke beschr nken m chten oder eine Endpunktrichtlinie vorhanden sein muss f hren Sie unter Application Policies einen der folgenden Schritte aus Wenn Sie der Anwendungsrichtlinie eine Netzwerkressource hinzuf gen m chten klicken Sie unter Network Resources auf die Ressource und ziehen Sie sie auf Application network policies Wenn Sie der Anwendungsrichtlinie eine Endpunktrichtlinie hinzuf gen m chten klicken Sie unter End Point Policies auf die Richtlinie und ziehen Sie sie auf Application end point policies 6 Klicken Sie auf OK 130 Citrix Access Gateway Standard Edition Administratorhandbuch Durch Anwendungsrichtlinien wird der Netzwerkzugriff weiter eingeschrankt indem einzelne Netzwerkressourcen bestimmten Anwendungen zugewiesen werden Anwendungsrichtlinien definieren den Netzwerkpfad und die Endpunkt richtlinien f r eine bestimmte Anwendung So f gen Sie einer Gruppe eine Anwendung
27. m ssen Sie auch sicher stellen dass die entsprechenden Ports in den Firewalls offen sind damit das Access Gateway in der ersten DMZ mit dem Authentifizierungsserver kommuni zieren kann Wenn sich beispielsweise ein RADIUS Server im internen Netzwerk befindet und Port 1812 nach Authentifizierungsverbindungen abh rt m ssen Sie diesen Port durch die zweite und dritte Firewall ffnen damit das Access Gateway in der ersten DMZ mit dem Authentifizierungsserver kommunizieren kann Deaktivieren der Anmeldeseitenauthentifizierung Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ deaktivieren wird der Benutzer zwar vom XML Dienst jedoch nicht vom Access Gateway authentifiziert Diese Option ist zwar leichter zu konfigu rieren bietet jedoch geringere Sicherheit weil der Benutzer vor dem Zugriff auf die ver ffentlichten Anwendungen nur einmal authentifiziert wird Wenn Sie die Anmeldeseitenauthentifizierung deaktivieren laufen folgende Schritte ab Der Benutzer stellt ber einen Webbrowser eine Verbindung zum Access Gateway her Das Access Gateway ruft die Anmeldeseite vom Webinterface ab und zeigt dem Benutzer diese Anmeldeseite an Der Benutzer gibt seine Authentifizierungsinformationen ein die vom Access Gateway an das Webinterface weitergeleitet werden e Das Webinterface leitet die Anmeldeinformationen zur Authentifizierung an den XML Dienst weiter Wenn die Anmeldeseitenauthen
28. nistratoren Es verf gt ber mehrere Registerkarten die Ihnen die Verwaltung des Access Gateways erleichtern sollen So ffnen Sie das Administration Portal 1 Geben Sie in einem Webbrowser https AccessGatewayFODN 9001 ein 2 Geben Sie den Administratorbenutzernamen und das Kennwort ein Die Standardwerte lauten root und rootadmin Das Administration Portal wird ge ffnet Nachfolgend werden die Tasks beschrieben die Sie mit dem Administration Portal ausf hren k nnen 258 Citrix Access Gateway Standard Edition Administratorhandbuch Herunterladen von Tools und Dokumentation Auf der Seite Downloads haben Sie folgende Optionen Herunterladen des Administration Tools e Herunterladen und Installieren oder Starten des Administration Desktops Herunterladen der Access Gateway Dokumentation Herunterladen der Portalseitenvorlagen e Herunterladen der Muster E Mail f r Benutzer Konfigurieren des Administratorkennworts Das Access Gateway verf gt ber ein standardm iges Administratorkonto mit uneingeschr nktem Zugriff auf das Ger t Um das Access Gateway vor unbefug tem Zugriff zu sch tzen sollten Sie das Standardkennwort w hrend der Erst konfiguration ndern Der Standardbenutzername f r den Access Gateway Administrator lautet root und das zugeh rige Kennwort rootadmin Das Administratorkennwort kann im Administration Portal oder der seriellen Konsole ge ndert werden Citrix empfiehlt dass Sie das Ad
29. sodass Sie fiir diese Einstellung den internen Netzwerkadapter Interface 1 w hlen sollten 6 Klicken Sie auf Submit Dynamische Routen werden nicht in der Access Gateway Routingtabelle aufgef hrt Aktivieren der RIP Authentifizierung f r das dynamische Routing Zur Erh hung der Sicherheit bei dynamischem Routing k nnen Sie das Access Gateway f r die RIP Authentifizierung konfigurieren Hinweis Zur RIP Authentifizierung muss der RIP Server RIP 2 Pakete senden RIP 1 unterst tzt die Authentifizierung nicht Bei der RIP Authentifizierung m ssen sowohl der RIP Server als auch das Access Gateway so konfiguriert werden dass eine bestimmte Authentifizierungs Zeichenfolge verwendet wird Der RIP Server kann diese Zeichenfolge wahl weise als einfachen Text versenden oder auch mit MDS verschl sseln Falls der RIP Server die Authentifizierungs Zeichenfolge mit MD5 verschl sselt muss entsprechend die Option f r MD5 auf dem Access Gateway aktiviert werden Sie k nnen das Access Gateway so konfigurieren dass es Interface 0 und oder Interface 1 nach der Zeichenfolge f r die RIP Authentifizierung abh rt 66 Citrix Access Gateway Standard Edition Administratorhandbuch So aktivieren Sie die RIP Authentifizierung fur dynamisches Routing 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Legen Sie die Schnittstelle n fest d
30. 10 0 0 24 Der Server auf dem die Webanwendung f r den Vertrieb installiert ist befindet sich im Netzwerk 10 60 10 0 24 Der einzelne E Mail Server auf den Remotebenutzer zugreifen m ssen hat die IP Adresse 10 10 25 50 Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 311 Festlegen welche Benutzer aus den Abteilungen Vertrieb und Technik Remotezugriff benotigen Zum Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisie rung muss der Administrator im zweiten Arbeitsschritt festlegen welche Benut zer aus den Abteilungen Vertrieb und Technik Remotezugriff ben tigen Bevor ein Administrator das Access Gateway zur Unterst tzung der Autorisie rung mit einem LDAP Verzeichnis konfigurieren kann muss er verstehen wie das Access Gateway den Autorisierungsvorgang mit Gruppen vornimmt Insbesondere muss der Administrator das Verh ltnis zwischen der Gruppenmit gliedschaft eines Benutzers im LDAP Verzeichnis und der Gruppenmitglied schaft eines Benutzers auf dem Access Gateway verstehen Hinweis Zur Unterst tzung von Autorisierungstypen basiert das Access Gateway hnlich wie RADIUS auf Benutzergruppen Wenn ein Benutzer in einem LDAP Verzeichnis eine Verbindung zum Access Gateway herstellt l uft die grundlegende Authentifizierung und Autorisierung in der folgenden Reihenfolge ab Nachdem ein Benutzer seine Authentifizierungsinformationen vom LDAP Verzeichnis eingegeben hat su
31. 110 120 Sie k nnen auch eine Kombination aus einzelnen Ports und Portbereichen eingeben Beispiel Wenn Sie Verbindungen ber die Ports 22 80 8088 und 110 bis 120 zulassen m chten geben Sie Folgendes ein 22 80 8080 110 120 6 W hlen Sie unter Protocol die Protokolle aus mit denen Verbindungen auf den angegebenen Ports hergestellt werden k nnen 1 Klicken Sie auf OK So f gen Sie einer Gruppe eine Netzwerkressource hinzu Klicken Sie auf der Registerkarte Access Policy Manager im rechten Bereich unter Network Resources auf die Ressource die Sie hinzuf gen m chten und ziehen Sie sie auf die Benutzergruppe im linken Bereich Zulassen und Verweigern von Netzwerkressourcen und Anwendungsrichtlinien Standardm ig sind alle Netzwerkressourcen und Anwendungsrichtlinien zuge lassen Wenn der Zugriff auf eine Ressourcengruppe verweigert wird wird auto matisch auch der Zugriff auf alle anderen Ressourcengruppen verweigert und der Netzwerkzugriff f r die Benutzergruppe wird nur ber deren Zugriffssteuerungs liste gesteuert 128 Citrix Access Gateway Standard Edition Administratorhandbuch Das Access Gateway interpretiert Zulassen und Verweigern wie folgt Das Access Gateway verweigert den Zugriff auf alle Netzwerkressourcen oder Anwendungsrichtlinien die nicht explizit zugelassen sind Wenn Sie einer bestimmten Benutzergruppe also den Zugriff auf nur eine Ressour cengruppe erlauben m chten g
32. 3 Geben Sie unter First DNS server Second DNS Server oder Third DNS server die IP Adresse der einzelnen Server ein 4 Geben Sie in das Feld DNS suffixes die Suffixe der Server ein Dies sind die DNS Suffixe der Server Die einzelnen Eintr ge in der Liste sind durch ein Leerzeichen voneinander getrennt Die Syntax f r die Eintr ge lautet site com Stellen Sie den Suffixen keinen Punkt voran Beispiel site com Standardm ig berpr ft das Access Gateway lediglich das Remote DNS des Benutzers Wenn ein Failover auf das lokale DNS des Benutzers m glich sein soll muss Split DNS zugelassen werden Weitere Informa tionen finden Sie unter Aktivieren von Split DNS auf Seite 169 5 Geben Sie in das Feld WINS Server die IP Adresse des Servers ein 6 Klicken Sie auf Submit Bearbeiten der HOSTS Datei Auf der Registerkarte Name Service Providers k nnen Sie Eintr ge in die HOSTS Datei des Access Gateways einf gen Mit den Eintr gen in der HOSTS Datei l st das Access Gateway die vollqualifizierten Dom nennamen in IP Adressen auf Beim Umwandeln eines vollqualifizierten Dom nennamen in eine IP Adresse berpr ft das Access Gateway zun chst die HOSTS Datei bevor eine Verbin dung zum DNS Server aufgebaut wird um die Adress bersetzung durchzu f hren Wenn der vollqualifizierte Dom nenname schon mit den Angaben in der HOSTS Datei in eine IP Adresse aufgel st werden kann wird der DNS Server gar nicht erst aufge
33. 9 Geben Sie unter Server logon name attribute das Attribut ein unter dem das Access Gateway nach den Benutzeranmeldenamen ftir den LDAP Server suchen soll den Sie gerade konfigurieren Das Standardattribut ist cn Bei Verwendung von Active Directory ist das Attribut cn einzugeben 10 Geben Sie unter Group attribute den Namen des Attributs ein Der Standardname lautet member f Mit diesem Attribut kann das Access Gateway bei der der Autorisierung die Gruppen abrufen bei denen der Benutzer Mitglied ist Klicken Sie auf Submit Verwenden von Zertifikaten f r sichere LDAP Verbindungen F r die LDAP Authentifizierung und Autorisierung k nnen Sie ein sicheres Clientzertifikat verwenden Hierf r ben tigen Sie eine Zertifizierungsstelle im Unternehmen z B die Zertifikatdienste in Windows Server 2003 die auf dem selben Computer wie Active Directory ausgef hrt werden ber die Zertifizie rungsstelle k nnen Sie ein Clientzertifikat erstellen F r die LDAP Authentifizierung und Autorisierung muss das Clientzertifikat sicher sein und SSL verwenden Sichere Clientzertifikate f r LDAP werden auf das Access Gateway hochgeladen So laden Sie ein sicheres Clientzertifikat f r LDAP hoch 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway und klicken Sie auf die Registerkarte Administration 2 Klicken Sie neben Upload a pem private key and client certificate auf Browse 3 Gehen
34. Access Gateway Der Presentation Server Client stellt ber das Internet eine Verbindung zum Access Gateway in der ersten DMZ her Das Zertifikat f r diese Verbindung wird auf die gleiche Weise verwaltet wie die oben beschriebene Verbindung vom Webbrowser zum Access Gateway Wenn Sie die Zertifikate zum Verschl sseln der Webbrowser Verbindung installiert haben wird diese Verbindung auch mit diesen Zertifikaten verschl sselt Die Tabelle zeigt welche Verbindungen durch die zweite Firewall hergestellt werden und welche SSL Zertifikate zum Verschl sseln der einzelnen Verbindun gen erforderlich sind Die Verschl sselung dieser Verbindungen erh ht die Sicherheit ist jedoch nicht zwingend erforderlich F r die Verschl sselung erforderliche Zertifikate Verbindungen durch die zweite Firewall Auf dem Webinterface muss ein SSL Serverzertifikat installiert sein Auf dem Access Gateway in der ersten DMZ muss ein Stammzzertifikat installiert sein das von der gleichen Zertifizierungs stelle signiert ist wie das Serverzertifikat auf dem Webinterface Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Webinterface in der zweiten DMZ her Das Access Gateway in der ersten DMZ stellt Auf dem Access Gateway in der zweiten eine Verbindung zum Access Gateway in der DMZ muss ein SSL Serverzertifikat zweiten DMZ her installiert sein Auf dem Access Gateway in der ersten DMZ muss ein Stammzert
35. Access Gateways erfolgt ber den Administration Desktop der den Zugriff auf eine Vielzahl von Standardtools f r die Netzwerk berwachung bietet Der Administration Desktop bietet auch Zugriff auf den Real time Monitor mit dem eine Liste der aktuellen Benutzer angezeigt werden kann Weitere Informationen zum Administration Desktop und zu den Netzwerktools finden Sie unter berwachen des Access Gateways auf Seite 283 Konfigurieren des Webinterface Das Webinterface kann auf einem Server in der DMZ oder im sicheren Netzwerk ausgef hrt werden Bei Herstellung einer Clientverbindung wird die Authentifi zierung vom Webinterface durchgef hrt Weitere Informationen zum Konfigurieren der Authentifizierung auf dem Access Gateway finden Sie unter Voraussetzungen zum Konfigurieren der Authentifi zierung auf dem Access Gateway auf Seite 78 Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 205 ber den Citrix Presentation Server FIREWALL e FIREWALL X I Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ In dieser Bereitstellung befinden sich Webinterface und Access Gateway beide in der DMZ Benutzer stellen ber einen Webbrowser direkt eine Verbindung zum Webinterface her Benutzer haben sofort nach der Anmeldung am Webinterface Zugriff auf ver ffentlichte Anwendungen in der Serverfarm Sobald ein Benutzer eine Anwendung startet sendet das Webinterface eine ICA Datei mit
36. Administration Portal finden Sie Downloads und Sie k nnen einige Access Gateway Einstellungen verwalten Der Administration Desktop bietet berwachungstools f r das Access Gateway Administration Tool Mit dem Administration Tool k nnen Sie globale Einstellungen konfigurieren und diese dann auf die verschiedenen Access Gateway Ger te im Netzwerk bertragen Im linken Bereich des Administration Tool Fensters finden Sie Hilfeinforma tionen f r die aktuell ausgew hlte Registerkarte Die Onlinehilfe passt sich an die Aufgabe an die Sie gerade ausf hren Au erdem werden im Bereich Alerts ber der Onlinehilfe Warnungen angezeigt Warnungen informieren Sie wenn auf dem Access Gateway ein Problem aufge treten ist z B eine fehlende Lizenz oder ein Zertifikat Das Administration Tool wird vom Administration Portal aus heruntergeladen und installiert Wichtig Wenn Sie ein Upgrade von einer lteren Access Gateway Version vornehmen m ssen Sie das Administration Tool zun chst ber das Dialogfeld Software in der Systemsteuerung deinstallieren bevor Sie die neueste Version vom Administration Portal herunterladen und installieren So installieren und starten Sie das Administration Tool 1 Klicken Sie im Administration Portal auf Downloads 2 Klicken Sie unter Access Gateway Administration Tool auf Install the Access Gateway Administration Tool Klicken Sie auf Offnen Kapitel 12 Warten des Access Gateways 257
37. Analyzer 289 fnetload 290 Gruppenpriorit ten 137 Herunterladen oder Starten 258 ffnen 260 289 Real time Monitor 289 System Monitor 290 Traceroute 289 berwachungstools 288 xNetTools 289 Administration Portal Administratorkennwort 258 Deaktivieren des externen Zugriffs mit dem Administration Tool 259 Externen Zugriff mit der seriellen Konsole deaktivieren 43 Port 25 Protokollierung 259 Verf gbare Downloads 258 Wartung 259 Webadresse 260 Zertifikate installieren 59 Administration Tool Downloaden 258 In einer Double Hop DMZ installieren 232 Installation 45 256 Internes Failover 335 Port 25 Protokollierung 259 Zugriff nicht m glich 336 Administratoren Secure Access Client 149 Administratorkennwort Administration Portal 258 Serielle Konsole 43 AES 20 Aktualisieren 16 Access Gateway Software 261 Secure Access Client 151 Anmeldeseite 120 Aktivieren 183 Authentifizierung 207 Authentifizierung deaktivieren 190 Authentifizierung in Double Hop DMZ 230 Authentifizierung in Double Hop DMZ aktivieren 230 Webinterface 216 Anmeldeskripte 22 170 Anwendungen Kioskmodus 158 INDEX 342 Citrix Access Gateway Standard Edition Administratorhandbuch Anwendungsrichtlinien 120 129 Einschr nken der Laufwerkszuordnung nicht m glich 337 Konfigurationsbeispiel 322 Zulassen und Verweigern 127 Archiv des Systemprotokolls 283 Asymmetrische Verschl sselung 293 Auslagerungsbereichsnutzung 290 Authentifizierung 97 Aktivi
38. Au endiensttechniker Erstellen und Zuweisen von Netzwerkressourcen f r die Benutzer im Vertrieb In diesem Abschnitt wird kurz erl utert wie der Administrator eine Netzwerk ressource f r die Benutzer im Vertrieb erstellt und diesen Benutzern zuweist Wie bereits oben erw hnt ben tigen die Benutzer im Vertrieb Zugriff auf die folgenden Systeme E Mail Server Webkonferenzserver und mehrere Dateiserver im Netzwerk 10 10 0 0 24 Webanwendung f r den Vertrieb im Netzwerk 10 60 10 0 24 So erstellen Sie eine Netzwerkressource namens Vertriebsressource f r die Benutzer im Vertrieb 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf Network Resources und klicken Sie dann auf New Network Resource 3 Geben Sie Vertriebsressource als Namen f r die Netzwerkressource ein und klicken Sie auf OK 4 Geben Sie im Feld Network and subnet mask die beiden IP Adress Subnetzpaare f r die Ressourcen ein Trennen Sie diese IP Adress Subnetzpaare jeweils durch ein Leerzeichen voneinander 10 10 0 0 24 10 60 10 0 24 5 Zur Vereinfachung dieses Beispiels bernimmt der Administrator die Standardwerte f r die anderen Einstellungen im Eigenschaften Dialogfeld der Netzwerkressource und klickt auf OK Nach dem Erstellen dieser Netzwerkressource geht der Administrator wie nach stehend beschrieben vor um diese Netzwerkressource der Zugriffssteuerun
39. Einstellungen f r die Gruppe konfigurieren k nnen Wenn alle Einstellungen festgelegt sind k nnen der Gruppe Ressourcen hinzugef gt werden So erstellen Sie eine lokale Benutzergruppe auf dem Access Gateway l Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf User Groups und klicken Sie dann auf New Group Geben Sie unter Group Name einen aussagekr ftigen Namen f r die Gruppe ein z B Temp Mitarbeiter oder Buchhaltung und klicken Sie dann auf OK Wichtig Wenn die Eigenschaften der Gruppe f r die Authentifizierung mittels Authentifizierungsservern verwendet werden sollen muss der Gruppenname mit dem Gruppennamen auf dem Authentifizierungsserver identisch sein auch hinsichtlich der Gro und Kleinschreibung und der verwendeten Leerzeichen Ein Dialogfeld f r die hinzugef gte Gruppe wird ge ffnet 3 Informationen zum Konfigurieren der Gruppe finden Sie unter Konfigurieren von Ressourcen f r eine Benutzergruppe auf Seite 123 122 Citrix Access Gateway Standard Edition Administratorhandbuch So entfernen Sie eine Benutzergruppe Klicken Sie mit der rechten Maustaste im linken Bereich der Registerkarte Access Policy Manager auf eine Gruppe und klicken Sie dann auf Delete Eigenschaften der Standardgruppe Default Wenn die einzige auf dem Access Gateway konfigurierte Gruppe die Standard benutzergruppe ist
40. Gateway Advanced Edition bereit gestellt haben und eine Verbindung zu Advanced Access Control herstellen m chten Diese Option wird nur angezeigt wenn Sie Configure for Advanced Access Control in Schritt 3 aktiviert haben Geben Sie die MAC Adresse der Netzwerkkarte f r Schnittstelle 0 des in der zweiten DMZ installierten Access Gateway Proxyger ts ein 6 Klicken Sie auf die Schaltfl che Validate um zu berpr fen ob das Access Gateway in der ersten DMZ mit der angegebenen Adresse dem angegebe nen Protokoll und dem angegebenen Port eine Verbindung zum Access Gateway in der zweiten DMZ herstellen kann Klicken Sie auf OK 7 Wenn Sie mehrere Ger te in der zweiten DMZ installiert haben wieder holen Sie Schritte 4 bis 6 bis jedes in der zweiten DMZ installierte Ger t in der Liste Appliances in second hop angezeigt wird Hinweis Das Access Gateway in der ersten DMZ verwendet diese Liste f r den Lastausgleich bei Verbindungen zu den in der zweiten DMZ installierten Ger ten Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 241 8 Klicken Sie auf Submit um das Access Gateway neu zu starten Hinweis N here Informationen zum Neustarten des Access Gateways finden Sie unter Neustarten des Access Gateways auf Seite 48 9 Wenn Sie mehrere Access Gateway Ger te in der ersten DMZ installiert haben wiederholen Sie alle o g Schritte f r jedes Access Gateway in der ersten DMZ Jed
41. Gruppeneigenschaften und Gruppen ressourcen unterschieden Zu den Gruppeneigenschaften geh ren Folgende Gruppen die die Eigenschaften der Standardgruppe bernehmen Erzwingen einer erneuten Anmeldung durch die Benutzer wenn es zu einer Netzwerkunterbrechung gekommen ist oder wenn sich der Computer im Standby Modus oder Ruhezustand befunden hat Aktivieren der Single Sign On Funktionalit t unter Windows Aktivieren von Single Sign On f r das Webinterface Ausf hren von Anmeldeskripten wenn ein Benutzer sich mit Dom nenanmeldeinformationen anmeldet Verweigern des Zugriffs auf Anwendungen in dem Netzwerk das keine definierte Anwendungsrichtlinie besitzt Deaktivieren der Desktopfreigabefunktion des Secure Access Clients Zugriffskonfiguration zum Festlegen der Zeitdauer f r eine Sitzung Es gibt drei Arten von Sitzungstimeouts 120 Citrix Access Gateway Standard Edition Administratorhandbuch Benutzersitzungstimeout Hiermit wird festgelegt wie lange ein Benutzer angemeldet bleiben kann unabh ngig davon ob Aktivit t stattfindet Die angegebene Zeit ist absolut Wenn f r den Benutzer ein Timeout von 60 Minuten festgelegt ist endet die Sitzung nach 60 Minuten 1 Minute vorher werden die Benutzer in einer Warn meldung auf das nahende Sitzungsende hingewiesen e Netzwerkaktivit tstimeout Hierbei wird der Benutzer nach einer bestimmten Zeitspanne abgemeldet wenn keine Netzwerkaktivit t v
42. Herunterfahren des Access GatewayS 0 c cece cece e eens 266 Initialisieren des Access GatewayS nnou nunun nner rneer 266 Zulassen von ICMP Verkehr 2 22 ccc cece teen eee 267 10 Citrix Access Gateway Standard Edition Administratorhandbuch Kapitel 13 Anhang A Anhang B Konfigurieren pers nlicher Firewalls von Drittanbietern 267 BlackICE PC Protection ssie ii ae 0 eee cece E enes 268 McAfee Personal Firewall Plus 2 0 cee eee eee eee eee 268 Norton Personal Firewall 0 0 0 cece ete eee 269 Sygate Personal Firewall kostenlose und Pro Version 269 Tiny Personal Firewall sone cece ene ene eens 269 Z00eAlarn Pro ad Snes tas Gents Wy pee Ge as Bar Specs WP gaye rect yao ee 270 Installieren zusatzlicher Access Gateway Gerate Erstellen eines Clusters mit Access Gateway Ger ten 0005 273 Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers 275 Konfigurieren des Lastausgleichs 0 c cece ee eee eee eens 276 Konfigurieren von Access Gateway Ger ten f r den Betrieb hinter einem Load Balancer oi 0 3 Sr set sat a ein rien 277 Konfigurieren von Access Gateway Failover 000 e eee eee e eee 280 Uberwachen des Access Gateways Anzeigen und Herunterladen von Systemmeldungsprotokollen 283 Anzeigen von Secure Access Client Verbindungsprotokollen 285
43. Kapitel 4 Erstmalige Installation des Access Gateways 43 Mit der seriellen Konsole haben Sie folgende Optionen f r die Konfiguration des Access Gateways 0 Express Setup Konfiguriert die TCP IP Einstellungen f r Interface 0 auf der Registerkarte Access Gateway Cluster gt General Networking 1 Ping Hiermit werden andere Netzwerke angesprochen um die Konnektivit t zu berpr fen 2 Link Modes Hiermit werden Duplexmodus und Geschwindigkeits modus f r Interface 0 auf der Registerkarte Access Gateway Cluster gt General Networking eingestellt 3 External Administration Port Hiermit werden Verbindungen zum Administration Tool von einem Remotecomputer aktiviert oder deaktiviert 4 Display Log Zeigt das Access Gateway Protokoll an 5 Reset Certificate Stellt das in Access Gateway enthaltene Standard zertifikat wieder her 6 Change Administrative Password Hiermit k nnen Sie das Standardadministratorkennwort rootadmin ndern Wichtig Citrix empfiehlt dass Sie das Administratorkennwort ndern bevor Sie das Access Gateway an Ihr Netzwerk anschlie en Das neue Kennwort kann bis zu 127 Zeichen enthalten und darf nicht mit einem Leerzeichen beginnen oder enden 7 Help Zeigt Hilfeinformationen an 8 Log Out Meldet Sie vom Access Gateway ab Hinweis Citrix empfiehlt beide Netzwerkadapter des Ger ts zu verwenden Nach der Konfiguration der TCP IP Einstellungen
44. Klicken Sie auf die Registerkarte Access Policy Manager 3 Klicken Sie mit der rechten Maustaste im linken Bereich auf den Ordner Local Users und klicken Sie dann auf New User 4 Geben Sie im Dialogfeld New User in das Feld User Name einen Benutzernamen ein und in das Feld Password entsprechend das Kennwort Wiederholen Sie die Eingabe des Kennworts im Feld Verify Password und klicken Sie auf OK Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 55 5 Geben Sie in einem Webbrowser die Adresse des Access Gateways ein wahlweise die IP Adresse oder den vollqualifizierten Dom nennamen und stellen Sie so eine Verbindung zum internen oder externen Interface her Die Syntax lautet dabei Attps IP Adresse bzw https vollqualifizierter Dom nenname 6 Geben Sie die Anmeldeinformationen ein Das Citrix Access Gateway Portal wird ge ffnet 7 Klicken Sie auf Eigener Computer und dann auf Verbinden Das Secure Access Client Verbindungssymbol wird im Infobereich angezeigt dies zeigt an dass die Verbindung erfolgreich hergestellt wurde Die Erstkonfiguration ist damit abgeschlossen Nach der Erstkonfiguration k nnen Sie die zug nglichen Netzwerke konfigurieren sodass Verbindungen zu allen Netzwerkressourcen z B E Mail Webserver Dateifreigaben auf dieselbe Weise wie an Ihrem Arbeitsplatz m glich sind Versuchen Sie zum Testen der Konfiguration eine Verbindung zu Anwendungen und Ressourcen im Unterneh mens
45. Konfigurieren von Benutzerverbindungen fur den Secure Access Client 169 So konfigurieren Sie IP Pooling fur eine Gruppe 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Benutzergruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte Network die Option Enable IP pools 4 Klicken Sie mit der rechten Maustaste unter IP pool configuration auf ein Gateway und klicken Sie dann auf Change the IP Address Pool 5 Geben Sie unter Starting IP Address die erste IP Adresse des Pools ein 6 Geben Sie unter Number of IP addresses die Anzahl der IP Adressaliasse ein In allen IP Pools k nnen insgesamt bis zu 2000 IP Adressen vorhanden sein 7 Geben Sie unter Default gateway die IP Adresse des Gateways ein Wenn Sie dieses Feld leer lassen wird ein Access Gateway Netzwerk adapter verwendet wie dies bereits weiter oben in diesem Abschnitt beschrieben wurde Wenn Sie ein anderes Ger t als Gateway festlegen f gt das Access Gateway der Access Gateway Routingtabelle einen Eintrag f r diese Route hinzu 8 Klicken Sie zweimal auf OK Aktivieren von Split DNS Standardm ig berpr ft das Access Gateway lediglich das Remote DNS des Benutzers Durch Aktivieren von Split DNS k nnen Sie Failoveroperationen auf das lokale DNS des Benutzers zulassen Diese Einstellung kann im Dialogfeld Verbindungseigenschaften im Dialogfeld Secure Acc
46. Licensing Routen Registerkarte Routes Namensdienstanbieter Registerkarte Name Service Providers Failover Registerkarte Failover Datum und Uhrzeit Registerkarte Date Die Einstellungen auf den folgenden Registerkarten im Administration Tool werden auf jedem Ger t im Cluster ver ffentlicht Access Policy Manager Authentication Global Cluster Policies Portal Page Configuration Group Priority Durch die Ver ffentlichung dieser Einstellungen auf den anderen Ger ten ist sichergestellt dass alle Ger te im Cluster dieselben Einstellungen f r die Zugriffskontrolle auf die internen Netzwerkressourcen aufweisen 274 Citrix Access Gateway Standard Edition Administratorhandbuch Bevor Sie ein Ger t in den Cluster aufnehmen installieren Sie es zun chst gem den Anweisungen in Kapitel 4 Erstmalige Installation des Access Gateways auf Seite 39 Wichtig Jedes Ger t im Cluster muss dasselbe Administratorkennwort besit zen Access Gateways mit einem abweichenden Administratorkennwort k nnen nicht im Cluster verwaltet werden Citrix empfiehlt das Administratorkennwort w hrend der Installation des Access Gateways mit der seriellen Konsole zu ndern Weitere Informationen finden Sie unter Konfigurieren der TCP IP Ein stellungen mit dem seriellen Kabel auf Seite 42 und Konfigurieren des Admi nistratorkennworts auf Seite 258 Das neue Kennwort muss zwischen 6 und 127 Zeichen enthalten Kennw rter
47. Linux Clients und der Kioskmodus nicht Wenn Sie das Access Gateway so konfigurieren dass Clientzertifikate angefor dert werden m ssen alle Benutzer die sich ber das Access Gateway anmelden ein sicheres Clientzertifikat vorlegen Das Zertifikat kann daher aus dem Zertifi katspeicher in Windows oder von einer Smartcard stammen So legen Sie fest dass Clientzertifikate erforderlich sein sollen 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren Sie unter Select security options die Option Require secure client certificates 3 Klicken Sie auf Submit Kapitel 8 Konfigurieren von Benutzerverbindungen f r den Secure Access Client 177 Definieren von Clientzertifikatskriterien Verwenden Sie zum Festlegen der Kriterien die die Clientzertifikate erf llen m ssen einen booleschen Ausdruck Damit der Benutzer einer Gruppe angeh ren kann muss er nicht nur alle anderen f r die jeweilige Gruppe konfigurierten Authentifizierungsregeln einhalten sondern auch die Zertifikatskriterien erf llen So erfordern z B die folgenden Kriterien dass im Betreff Feld des vom jeweili gen Benutzer bereitgestellten Clientzertifikats f r die Organisationseinheit Orga nizational Unit OU Buchhaltung und f r den gemeinsamen Namen Common Name CN ein Wert festgelegt ist der mit dem lokalen Benutzernamen des Benutzers auf dem Access Gateway bereinstimmt client_cert_ end user_subject_organizational_unit Buchha
48. Namen f r die Ressource ein und klicken Sie auf OK 3 Aktivieren Sie Remote Desktop und geben Sie in das Textfeld den vollqualifizierten Dom nennamen f r den Server ein Klicken Sie auf OK Remotedesktop bietet dem Benutzer uneingeschr nkten Zugriff auf die Ressour cen eines Remotecomputers beispielsweise auf Dateien Anwendungen und Netzwerkressourcen Auf diese Weise kann der Benutzer den Computer aus der Ferne so steuern als w rde er direkt vor ihm sitzen Die Arbeit des Benutzers verbleibt auf dem Remotecomputer d h es werden keine Dateien sondern nur Bilder an den Computer des Benutzers gesendet Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 163 Wenn sich Benutzer ber einen ffentlichen Computer anmelden und Remote desktop konfiguriert ist k nnen sie Remotedesktop ber ein Symbol starten Nach der Eingabe des Benutzernamens und des Kennworts wird der Desktop des Remotecomputers auf dem ffentlichen Computer angezeigt SSH Client Der SSH Client erm glicht es dem Benutzer eine SSH Verbindung zu einem Remotecomputer einzurichten So verwenden Sie den SSH Client 1 W hlen Sie auf der Portalseite die Option ffentlicher Computer und melden Sie sich an 2 Klicken Sie im Webbrowser auf das SSH Symbol 3 Geben Sie den Benutzernamen und den SSH Hostnamen oder die IP Adresse ein Das SSH Fenster wird ge ffnet Telnet 3270 Emulator Client Der Telnet 3270 Emulator Cli
49. Presentation Server ausgef hrt wird Wenn Sie keine ICA Zugriffssteuerungsliste erstellen K nnen Benutzer auf alle Server zugreifen auf denen Presentation Server ausgef hrt wird N here Informationen zu ICA Zugriffssteuerungslisten finden Sie unter Konfigurieren der ICA Zugriffssteuerung auf Seite 214 Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 243 So konfigurieren Sie das Access Gateway in der ersten DMZ f r den Secure Ticket Authority und ICA Datenverkehr l Klicken Sie auf die Registerkarte Authentication und anschlie end auf die Registerkarte Secure Ticket Authority Geben Sie unter Server running the STA die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein auf dem die Secure Ticket Authority installiert ist Geben Sie unter STA path den Pfad zur Secure Ticket Authority ein Der Standardpfad lautet Scripts CtxSTA dll Legen Sie unter Connection type fest ob die Verbindung sicher Secure oder unsicher Unsecure ist Hinweis N here Informationen zu den f r diese Verbindung verwende ten Ports und Zertifikaten finden Sie unter Schritt 8 ffnen der entspre chenden Ports in den Firewalls auf Seite 244 und Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung auf Seite 246 Klicken Sie auf Add Wenn die Secure Ticket Authority konfiguriert ist werden der Server der Pfad die ID und der Verbindungstyp unter Secur
50. Secure Access Clients aufgefordert werden 00000 cee eee 332 12 Citrix Access Gateway Standard Edition Administratorhandbuch Sonstige Probleme 0 c ccc eee tenet e eens 333 Lizenzdatei stimmt nicht mit dem Access Gateway berein 333 Definieren von Subnetzeinschr nkungen f r zug ngliche Netzwerke 333 VMW re id u ne ee ee ee be ehe ENA 333 ICMP bertragungen a sen ae anche ar 334 Ping Befehl o u rre eet ea sas Bent en a Den En een 334 LDAP Authentifizierung 222222 cette teens 334 Endpunktrichtlinien 0 0 0 0 ccc cece tne eens 334 Netzwerkressourcen 0 0 c cece cence A E n eee ene eeee 334 Kioskverbindungen 0 ccc eee teen teen nee 334 Intemes Fallvet e ver 2 en en hued seat Sede ze sie Beh Oe 335 ZEIUIEkatSIEDIERUND ae REN SSL Den 335 Zertifikatsperrlisten 222222222 eee teen eee nenn 335 Netzwerkmeldungen an nicht vorhandene IP Adressen 336 Das Access Gateway startet nicht und die serielle Konsole ist leer 336 Zugriff auf das Administration Tool nicht m glich 336 Kommunikation zwischen Ger ten und dem Access Gateway nicht M glich au ee RI kb Helen 336 Verwenden von Strg Alt Entf zum Neustarten des Access Gateways nicht M glich un ea a Rn Dal ar eb Delle 337 Sitzungen mit SSL Version 2 und Zertifikatketten auf mehreren Ebenen 337 H 323 Brotokoll ur ea en een 337 Zertifikate mit
51. Sie auf der Registerkarte Administration neben Restart the appliance auf Restart oder Klicken Sie im Men Action auf Restart Name des Ger ts wobei Name des Ger ts der Name des Access Gateways ist Sie k nnen das Access Gateway auch ber das Administration Portal neu starten So starten Sie das Access Gateway ber das Administration Portal neu Klicken Sie im Administration Portal auf Maintenance Klicken Sie neben Restart the Server auf Restart Konfigurieren des Access Gateways fur die Netzwerkumgebung Sobald Sie die grundlegenden TCP IP Einstellungen auf dem Access Gateway festgelegt haben konfigurieren Sie das Ger t f r Ihre Netzwerkumgebung Die weitere Konfiguration des Access Gateways umfasst die folgenden Schritte e Installieren von Lizenzen Erstellen und Installieren von Zertifikaten Konfigurieren weiterer Netzwerkeinstellungen Konfigurieren von Datum und Uhrzeit auf dem Access Gateway Verwenden der Standardportalseite Installieren von Lizenzen Die Access Gateway Lizenz berwachung begrenzt die Anzahl der gleichzeitigen Benutzersitzungen auf die Anzahl der gekauften Lizenzen Wenn Sie also 100 Lizenzen kaufen k nnen 100 gleichzeitige Sitzungen stattfinden Sobald ein Benutzer eine Sitzung beendet wird diese Lizenz f r den n chsten Benutzer frei gegeben Wenn sich ein Benutzer von mehreren Computern aus am Access Gateway anmeldet ben tigt er f r jede Sitzung eine eigene Lizenz Wen
52. Sie das Zertifikat vom PKCS7 in das PEM Format um 1 F hren Sie den folgenden Befehl aus openssl pkcs7 in Zertifikatdatei print_certs Das Ergebnis sieht in etwa wie folgt aus subject BEGIN CERTIFICATE Server Certificate END CERTIFICATE subject BEGIN CERTIFICATE Intermediate Cert END CERTIFICATE 2 Kombinieren Sie die Serverzertifikatsdaten und die Zwischenzertifikats daten sofern vorhanden der Ausgabe mit dem privaten Schliissel Infor mationen hierzu finden Sie unter Kombinieren des privaten Schl ssels mit dem signierten Zertifikat auf Seite 304 und Generieren vertrauensw rdi ger Zertifikate f r mehrere Ebenen auf Seite 304 304 Citrix Access Gateway Standard Edition Administratorhandbuch Kombinieren des privaten Schl ssels mit dem signierten Zertifikat Sie m ssen das signierte Zertifikat mit dem privaten Schl ssel kombinieren Erst dann k nnen Sie es auf das Access Gateway hochladen So kombinieren Sie den privaten Schl ssel mit dem signierten Zertifikat 1 Verwenden Sie einen Texteditor um den unverschl sselten privaten Schl ssel mit dem signierten Zertifikat im PEM Dateiformat zu kombinieren Der Dateiinhalt muss in etwa wie folgt aussehen ae BEGIN RSA PRIVATE KEY lt Unverschl sselter privater Schl ssel gt Samen BEGIN CERTIFICATE lt Signiertes Zertifikat gt
53. Sie zum Clientzertifikat und klicken Sie auf ffnen 94 Citrix Access Gateway Standard Edition Administratorhandbuch Bestimmen der Attribute in Ihrem LDAP Verzeichnis Wenn Sie bei der Bestimmung Ihrer LDAP Verzeichnisattribute Hilfe ben tigen k nnen Sie mit der kostenlos erh ltlichen Anwendung LDAP Browser von Softerra ganz einfach nach diesen Attributen suchen Laden Sie die kostenlos erh ltliche Anwendung LDAP Browser von der Softerra LDAP Administrator Website http www ldapbrowser com herunter Die Anwendung ist auch mit deutscher Benutzeroberfl che erh ltlich Legen Sie nach der Installation des Browsers folgende Attribute fest Hostname oder IP Adresse Ihres LDAP Servers Port Ihres LDAP Servers Der Standardwert ist 389 Das Feld Base DN kann leer gelassen werden Anhand der von LDAP Browser bereitgestellten Informationen k nnen Sie den Basis DN bestimmen der auf der Registerkarte Authentication ben tigt wird Mit dem Kontrollk stchen Anonymous Bind wird festgelegt ob der LDAP Server die Anmeldeinformationen der Benutzer ben tigt um eine Verbindung zum Browser herzustellen Wenn der LDAP Server die Anmeldeinformationen ben tigt lassen Sie das Kontrollk stchen deaktiviert Wenn alle Einstellungen vorgenommen wurden zeigt LDAP Browser im linken Bereich den Profilnamen an und stellt eine Verbindung zum LDAP Server her So suchen Sie nach LDAP Attributen 1 W hlen Sie im linken Teil vo
54. Verbindung zu einem Computer her auf dem Presentation Server ausgef hrt wird Das Access Gateway schlie t den Verbindungs Handshake mit dem Presentation Server Client ab und signalisiert dem Client dass die Verbindung zum Server nun aufgebaut ist Der gesamte weitere Datenverkehr zwischen dem Client und dem Server wird einfach durch das Access Gateway weitergeleitet Der Datenverkehr zwischen dem Presentation Server Client und dem Access Gateway ist verschl sselt Der Datenverkehr zwischen dem Access Gateway und dem Server kann unabh ngig davon verschl sselt werden standardm ig erfolgt jedoch keine Verschl sselung Kapitel 3 Planen der Bereitstellung 33 Bereitstellen des Access Gateways in einer Double Hop DMZ Einige Unternehmen verwenden drei Firewalls zum Schutz ihrer internen Netz werke Diese drei Firewalls unterteilen die DMZ in zwei Bereiche sodass ein zus tzliches Ma an Sicherheit fiir das interne Netzwerk erzielt wird Diese Netz werkkonfiguration wird als Double Hop DMZ bezeichnet Durch die Bereitstellung des Access Gateways in einer Double Hop DMZ schaffen Sie einen zentralen Zugriffspunkt auf eine Serverfarm die sich in einem internen Netzwerk befindet In dieser Konfiguration m ssen Sie zwei Access Gateway Ger te bereitstellen ein Ger t in der ersten Stufe der DMZ und das zweite in der zweiten Stufe der DMZ Wichtig Wird das Access Gateway in einem Double Hop Szenario bereit gestellt k n
55. Wenn ein Benutzer eine unverschl sselte Verbindung zum Access Gateway an Port 80 herstellt leitet das Access Gateway die Verbindung automatisch an einen sicheren Port weiter Weitere Informationen finden Sie im Abschnitt Umleiten von Verbindungen auf Port 80 an einen sicheren Port auf Seite 47 ffnen Sie TCP Port 443 an der ersten Firewall Sie k nnen TCP Port 80 ffnen wenn die Option Redirect any requests for port 80 to a secure port auf dem Access Gateway aktiviert ist Der Presentation Server Client stellt ber das Internet eine Verbindung zum Access Gateway in der ersten DMZ her ffnen Sie TCP Port 443 an der ersten Firewall Die Tabelle zeigt welche Verbindungen durch die zweite Firewall hergestellt werden und welche Ports zur Unterst tzung der Verbindungen offen sein m ssen Verbindungen durch die zweite Firewall Verwendete Ports Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Webinterface in der zweiten DMZ her ffnen Sie entweder TCP Port 80 f r eine unsichere Verbindung oder TCP Port 443 f r eine sichere Verbindung durch die zweite Firewall Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Access Gateway in der zweiten DMZ her ffnen Sie entweder TCP Port 1080 f r eine unsichere SOCKS Verbindung oder TCP Port 443 f r eine sichere SOCKS Verbin dung durch die zweite Firewall Wenn Sie die Anmeldeseitenauthentifizierung
56. Zertifikatsimport Assistent zum Einsatz Das Zertifikat wird unter den vertrauensw rdigen Stammzertifizierungsstellen f r den lokalen Computer gespeichert Weitere Informationen zur Verf gbarkeit von Stammzertifikaten und zu deren Installation auf anderen Plattformen au er 32 Bit Windows finden Sie in der Produktdokumentation f r das jeweils verwendete Betriebssystem 180 Citrix Access Gateway Standard Edition Administratorhandbuch Auswahlen einer Verschlusselungsart fur Clientverbindungen Die gesamte Kommunikation zwischen dem Secure Access Client und dem Access Gateway wird mit SSL verschl sselt Mit dem SSL Protokoll sind zwei Computer in der Lage Verschl sselungssammlungen f r die symmetrische Verschl sselung von Daten ber eine sichere Verbindung auszuhandeln Sie k nnen die Verschl sselungssammlung festlegen die das Access Gateway f r die symmetrische Datenverschl sselung bei einer SSL Verbindung verwendet Die Auswahl einer starken Verschl sselungssammlung senkt die Gefahr b swilli ger Angriffe Je nach den Sicherheitsrichtlinien Ihres Unternehmens m ssen Sie au erdem ggf eine bestimmte Verschl sselungssammlung f r die symmetrische Verschl sselung ber sichere Verbindungen festlegen Hinweis Wenn Sie ber das Access Gateway Zugriff auf Citrix Presentation Server bereitstellen wird auch der ICA Datenverkehr an das Access Gateway mit diesen Verschl sselungssammlungen verschl sselt F r SSL Ve
57. als spezielle IP Pakete die keiner TCP Quittierung bed rfen ber den sicheren Tunnel gerou tet werden Selbst wenn die Pakete im Netzwerk verloren gehen wird weder vom Client noch von den Serveranwendungen versucht diese Pakete wiederherzustel len Auf diese Weise l sst sich auch ber einen sicheren Tunnel auf TCP Basis eine UDP artige Echtzeitperformance erreichen Wenn das Access Gateway als eigenst ndiges Ger t installiert ist und Benutzer eine Verbindung ber den Secure Access Client herstellen wird die bidirektionale Kommunikation mit den folgenden VoIP Softphones Voice over IP unterst tzt Avaya IP Softphone Nortel IP Softphone Cisco IP Softphone Cisco IP Communicator Zwischen der IP Nebenstellenanlage des Herstellers und der Softphone Software auf dem Clientcomputer werden sichere Tunnel unterst tzt Damit der VoIP Verkehr den sicheren Tunnel durchqueren kann muss der Secure Access Client und eines der oben genannten Softphones auf demselben System installiert sein Beim Tunneln des VoIP Verkehrs ber den sicheren Tunnel werden die folgenden Softphonefunktionen unterst tzt Ausgehende Anrufe vom IP Softphone Eingehende Anrufe an das IP Softphone Bidirektionaler Datenverkehr 182 Citrix Access Gateway Standard Edition Administratorhandbuch Verbessern von VoIP Verbindungen VoIP Verkehr wird tiber das UDP Protokoll transportiert Diese Art von Verkehr reagiert sehr empfindlich auf La
58. auf dem Access Gateway in der ersten DMZ aktiviert haben muss dieses Access Gateway u U eine Ver bindung zu einem Authentifizierungsserver im inter nen Netzwerk herstellen ffnen Sie den TCP Port an dem der Authentifizierungs server Verbindungen abh rt z B Port 1812 f r RADIUS und Port 389 f r LDAP Wenn Sie das Administration Tool auf einem Computer in der zweiten DMZ bereitgestellt haben um Administratoraufgaben f r Access Gateway Ger te in der ersten DMZ auszuf hren wie unter Planen der Installation des Access Gateway Administration Tools auf Seite 232 beschrieben muss das Administration Tool eine Verbindung zum Access Gateway in der ersten DMZ herstellen ffnen Sie TCP Port 9002 damit das Administration Tool eine Verbindung zum Access Gateway herstellen kann ffnen Sie TCP Port 9001 um ber einen Webbrowser eine Verbindung zum Administration Portal auf dem Access Gateway herzustellen und das Administra tion Tool herunterzuladen und zu installieren 246 Citrix Access Gateway Standard Edition Administratorhandbuch Die Tabelle zeigt welche Verbindungen durch die dritte Firewall hergestellt werden und welche Ports zur Unterst tzung der Verbindungen offen sein m ssen Verbindungen durch die dritte Firewall Verwendete Ports Das Webinterface in der zweiten DMZ stellt eine Verbindung F r alle drei zum XML Dienst auf einem Computer im internen Netzwerk Verbindunge
59. ber hinaus die folgen den Hinweise Sie k nnen den Zugriff zus tzlich einschr nken indem Sie f r ein Paar aus IP Adresse und Subnetzmaske einen Port einen Portbereich und ein Proto koll angeben So k nnten Sie z B festlegen dass eine Ressource nur Port 80 und das TCP Protokoll verwenden kann Beim Konfigurieren des Ressourcengruppenzugriffs f r eine Benutzer gruppe k nnen Sie den Zugriff auf jede Ressourcengruppe zulassen oder verweigern Auf diese Weise k nnen Sie einen Teil einer ansonsten zuge lassenen Ressource ausschlie en So k nnen Sie z B einer Benutzergruppe den Zugriff auf 10 20 10 0 24 erlauben w hrend Sie aber den Zugriff auf 10 20 10 30 verweigern Verweigerungsregeln besitzen eine h here Priori t t als Zulassungsregeln Die einfachste Methode allen Benutzergruppen den Zugriff auf alle Netz werkressourcen bereitzustellen besteht darin berhaupt keine Ressourcen gruppen zu erstellen und die Option Deny access without access control list ACL auf der Registerkarte Global Cluster Policies zu deaktivieren Alle Benutzergruppen haben dann Zugriff auf alle Netzwerkressourcen auf die ber das Access Gateway zugegriffen werden kann Wenn Sie Benutzergruppen haben die Zugriff auf alle Netzwerkressourcen ben tigen erstellen Sie eine Ressourcengruppe f r 0 0 0 0 0 0 0 0 und geben Sie den Benutzergruppen Zugriff auf diese Ressource F r alle anderen Benutzergruppen k nnen Sie die einzelnen Ressourcengru
60. ccc ccc eee eens 179 Abrufen eines Stammzertifikats von einer Zertifizierungsstelle 179 Installieren von Stammzertifikaten auf einem Clientgerat 179 Ausw hlen einer Verschl sselungsart f r Clientverbindungen 180 Unterst tzung von VoIP Softphones 00 cece eee eee eens 181 Verbessern von VoIP Verbindungen 00 ccc cee eee eee ee 182 Kapitel 9 Konfigurieren der Anmelde und Portalseiten fur den Secure Access Client Konfigurieren der Access Gateway Anmeldeseiten 2222222200 183 Aktivieren der Anmeldeseitenauthentifizierung 0000005 183 Anpassen der Anmeldeseite 0 0 cece teen eens 184 Access Gateway Portalseitenvorlagen 0 cee eee eee eens 185 Herunterladen von und Arbeiten mit Portalseitenvorlagen 186 Verwenden des ActiveX Steuerelements 0 00 cece eee ee eee 188 Installieren benutzerdefinierter Portalseitendateien 188 Einf gen von Links zu Clients auf Ihrer Website 2 222 20 189 Ausw hlen einer Portalseite f r eine Gruppe 0 0 0 cee eee ee 190 Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen 190 Anmelden mit Zweimethodenauthentifizierung 000 e eee eee 191 Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind 192 8 Citrix Access Gateway Standard Edition Administratorhandbuch Kapitel 1
61. d rfen nicht mit einem Leerzeichen beginnen oder enden So f gen Sie dem Cluster Ger te hinzu 1 ffnen Sie das Administration Tool auf dem prim ren Access Gateway 2 Klicken Sie auf die Registerkarte Access Gateway Cluster 3 Geben Sie unter Add an Access Gateway to the Cluster in das Feld FODN den vollqualifizierten Dom nennamen f r ein zus tzliches Access Gateway ein und klicken Sie auf Add 4 Wiederholen Sie Schritt 1 bis 3 f r alle Ger te im Cluster Sobald Sie alle Ger te in den Cluster aufgenommen haben k nnen Sie die Ein stellungen vom prim ren Access Gateway im Cluster ver ffentlichen So ver ffentlichen Sie die Einstellungen von einem Ger t auf den anderen Ger ten im Cluster 1 Klicken Sie im Administration Tool auf dem ersten installierten Access Gateway dem prim ren Ger t auf die Registerkarte Publish 2 Klicken Sie auf Publish Die Einstellungen des ersten Access Gateways werden auf allen Access Gateway Ger ten im Cluster ver ffentlicht 3 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Administration 4 Klicken Sie im Bereich Access Gateway management neben Restart the appliance auf Restart Nach der Ver ffentlichung der Konfigurationseinstellungen auf allen Ger ten im Cluster m ssen alle Access Gateway Ger te neu gestartet werden damit die Anderungen in Kraft treten Kapitel 13 Installieren zusatzlicher Access Gateway Gerate 27
62. das Access Gateway das Webinterface um einen siche ren Zugriff auf ver ffentlichte Ressourcen in einem sicheren Unternehmensnetz werk zu erm glichen Folgende Schritte m ssen ausgef hrt werden Die Benutzer geben die Webadresse des Access Gateways in das Adress feld eines Webbrowsers ein Das Access Gateway empf ngt die Anfrage und leitet diese an das Web interface weiter Wenn sich das Webinterface hinter dem Access Gateway in der DMZ oder im sicheren Netzwerk befindet empfiehlt Citrix die Authentifizierung der Benutzer ber das Access Gateway Das Webinterface antwortet durch Senden einer Anmeldeseite an den Clientbrowser Der Benutzer gibt g ltige Benutzeranmeldeinformationen ein die ber das Access Gateway an das Webinterface gesendet werden Das Webinterface wiederum sendet die Benutzeranmeldeinformationen an den Citrix XML Dienst der von der Serverfarm aus verf gbar ist und fragt die Liste der Anwendungen ab die der Benutzer verwenden darf Im Webinterface wird daraufhin die Liste der ver ffentlichten Ressourcen angezeigt auf die der Benutzer zugreifen darf Wenn der Benutzer auf den Link zu einer ver ffentlichten Anwendung klickt sendet das Webinterface die IP Adresse und den Port f r den angeforderten Computer auf dem Presentation Server ausgef hrt wird an die Secure Ticket Authority und fordert ein Sitzungsticket f r den Benutzer an Die Secure Ticket Authority speichert die IP Adresse und stellt das a
63. dem lokalen Benutzer konto bei Fehlschlagen der Authentifizierung auf dem Authentifizierungsserver 80 Citrix Access Gateway Standard Edition Administratorhandbuch Nach der Authentifizierung eines Benutzers f hrt das Access Gateway eine Gruppenautorisierung durch Dazu werden die Informationen der Gruppe des Benutzers von einem LDAP Server einem RADIUS Server einem Windows NT 4 0 Server zur NTLM Autorisierung oder der lokalen Gruppendatei sofern nicht auf dem LDAP oder RADIUS Server verf gbar abgerufen Wenn f r den Benutzer Gruppeninformationen verf gbar sind berpr ft das Access Gateway anschlie end die f r die Gruppe zul ssigen Netzwerkressourcen Die LDAP Autorisierung kann mit allen unterst tzten Authentifizierungsmethoden verwendet werden Die vom LDAP Server abgerufenen Gruppennamen werden mit den Gruppen namen verglichen die lokal im Access Gateway erstellt wurden Wenn die Gruppennamen bereinstimmen werden die Eigenschaften der lokalen Gruppe auf die Gruppe angewendet die von den LDAP Servern abgerufen wurde Konfigurieren der Authentifizierung ohne Autorisierung Das Access Gateway kann so konfiguriert werden dass Benutzer authentifiziert werden ohne dass eine Autorisierung erforderlich ist Wenn ein Benutzer nicht autorisiert ist f hrt das Access Gateway keine Gruppenautorisierung durch Dem Benutzer werden die Einstellungen der Standardbenutzergruppe zugewiesen So stellen Sie auf dem Access Gatewa
64. der offenen Verbindungen und die Einstellung der Systemzeit In der Mitte der Taskleiste befinden sich Schaltfl chen zum Wechseln zu einem anderen Arbeitsbereich und Taskleistenschaltfl chen Die rechte Seite der Task leiste enth lt Informationen zur Prozessor und Netzwerknutzung und zeigt die Systemzeit an Der Administration Desktop wird vom Administration Portal aus ge ffnet So laden Sie den Administration Desktop herunter und ffnen ihn 1 F hren Sie im Administration Portal auf der Registerkarte Downloads unter Access Gateway Administration Desktop einen der folgenden Schritte aus e Klicken Sie zum Starten des Administration Desktops auf Launch the Access Gateway Administrative Desktop und dann auf Ausf hren Klicken Sie zum Installieren des Administration Desktops auf Install the Access Gateway Administration Desktop und dann auf Ausf hren 2 Geben Sie im Dialogfeld Citrix Access Gateway Remote Admin Desktop Ihren Benutzernamen und das Kennwort ein 3 Klicken Sie auf Connect Hinweis Wenn Sie das Access Gateway so konfigurieren dass beide Netzwerkadapter verwendet werden steht das Administration Portal von beiden Adaptern aus zur Verf gung Wenn Sie den Administratorzugriff ber den Netzwerkadapter verhindern m chten der eine externe Verbindung aufbaut finden Sie Informationen dazu unter Verwalten externer Verbindungen mit dem Administration Portal auf Seite 259 Kapitel 12 Warten des A
65. der Benutzer vor dem Zugriff auf ver ffentlichte Anwendungen zweimal authentifiziert wird Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 231 Wenn Sie die Anmeldeseitenauthentifizierung aktivieren werden Benutzer zur Eingabe ihrer Authentifizierungsinformationen Benutzername und Kennwort aufgefordert wenn Sie tiber einen Webbrowser eine Verbindung zum Access Gateway in der ersten DMZ herstellen Zur Unterst tzung dieser Benutzerauthen tifizierung m ssen Sie einen Authentifizierungsbereich auf dem Access Gateway erstellen Weitere Informationen zum Erstellen von Authentifizierungsbereichen finden Sie unter Konfigurieren der Authentifizierung auf dem Access Gateway auf Seite 78 Hinweis Der Authentifizierungsbereich dient zur Authentifizierung des Benut zers gewahrt dem Benutzer jedoch keinen Zugriff auf die Serverfarm Wenn Sie einen Authentifizierungsbereich auf dem Access Gateway in der ersten DMZ erstellen aktivieren Sie die Option No authorization als Autorisierungstyp In einer Double Hop DMZ Bereitstellung erfolgt die Autorisierung tiber das Webinterface den XML Dienst und die ICA Zugriffssteuerungsliste die auf dem Access Gateway in der ersten DMZ konfiguriert ist Die zur Unterst tzung der Autorisierung erforderlichen Einstellungen werden weiter unten in diesem Kapitel erl utert Wenn Sie die Anmeldeseitenauthentifizierung aktivieren sollten Sie auch die Access Gateway Option f r Sing
66. der Gruppe korrigieren der der Benutzer angeh rt So schlie en Sie eine Verbindung l Klicken Sie im Administration Desktop auf das Symbol f r den Citrix Real time Monitor 2 Klicken Sie auf den Pfeil um den Eintrag f r den Benutzer zu erweitern 3 Klicken Sie mit der rechten Maustaste auf die Verbindung die Sie schlie en m chten und w hlen Sie dann Close connection Deaktivieren und Aktivieren eines Benutzers Das Access Gateway verfolgt Benutzerverbindungen anhand einer Kombination aus Benutzername und MAC Adresse sodass ein Benutzer gleichzeitige Verbin dungen von verschiedenen Computern aus einrichten kann Sie k nnen eine Kombination aus Benutzername und MAC Adresse deaktivieren und aktivieren Durch Deaktivieren eines Benutzers wird eine Lizenz frei So deaktivieren Sie einen Benutzer an einer bestimmten MAC Adresse l Klicken Sie im Administration Desktop auf das Symbol f r den Citrix Real time Monitor 2 Klicken Sie mit der rechten Maustaste auf den Haupteintrag f r den Benutzer und w hlen Sie Disable User from MAC Der Benutzer kann so lange keine Verbindung von dieser MAC Adresse aus ein richten bis Sie den Benutzer wieder aktivieren oder das Access Gateway neu starten So aktivieren Sie einen Benutzer an einer bestimmten MAC Adresse l Klicken Sie im Administration Desktop auf das Symbol f r den Citrix Real time Monitor 2 Klicken Sie mit der rechten Maustaste auf den Eintrag f r den Ben
67. der Software wieder herstellen werden Sie zur Eingabe des Kennworts aufgefordert Wenn der private Schl ssel des Zertifikats verschl sselt ist kann der Schl ssel mit dem Kennwort entschl sselt werden Wenn der private Schl ssel nicht verschl sselt ist wird er mit dem Kennwort verschl sselt Wenn Sie ein Upgrade von einer fr heren Version des Access Gateways durchf hren und der private Schl ssel kein Kenn wort hat wird ein zuf llig erstelltes Kennwort zugewiesen und der private Schl ssel wird damit verschl sselt Achtung Wenn Sie die Konfiguration unter Version 4 5 des Access Gateways speichern installieren Sie diese Konfiguration nicht auf fr heren Versionen des Ger ts Der Grund hierf r ist dass der private Schl ssel in Version 4 5 verschl sselt ist und ltere Versionen ihn nicht entschl sseln k nnen Dadurch wird das Ger t funktionsunt chtig Installieren des Software Upgrades Zum Hochladen der neuen Software auf das Ger t steht Ihnen das Administration Tool zur Verf gung Lesen Sie sich vor der Installation des Upgrades die Dokumentation zur Software durch Hinweis Wenn Sie ein Serverupgrade hochladen beendet das Access Gateway alle aktiven Sitzungen Es empfiehlt sich daher Upgrades m glichst dann durchzuf hren wenn der Netzwerkverkehr eher gering ist So laden Sie ein Upgrade auf das Access Gateway hoch 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das A
68. die Zugriffssteuerungslisten ACLs die f r die Benutzerverbindung konfiguriert sind Diese Register karte wird nur f r Benutzer angezeigt die Mitglied einer Gruppe sind Wenn f r eine Gruppe keine Zugriffssteuerungsliste konfiguriert ist wird die Registerkarte auch nicht angezeigt Klicken Sie zum Schlie en des Fensters auf Schlie en So trennen Sie die Verbindung zum Secure Access Client Klicken Sie mit der rechten Maustaste im Infobereich der Taskleiste auf das Secure Access Symbol und w hlen Sie im Kontextmen den Befehl Trennen Verbindungen im Kioskmodus Das Access Gateway bietet zur Sicherung des Verkehrs zwischen ffentlichen Computern und Unternehmensnetzwerken einen Kioskmodus Wenn Benutzer auf der Seite Citrix Access Portal die Option ffentlicher Computer w hlen wird ein Webbrowser ge ffnet Der Benutzer meldet sich an und kann dann auf die im Browserfenster angezeigten Anwendungen zugreifen Standardm ig ist der Kioskmodus deaktiviert Wenn der Kioskmodus deaktiviert ist wird die Option ffentlicher Computer auf der Portalseite nicht angezeigt und das Access Gateway bietet keine Kioskfunktionen Bei Computern auf denen Java Virtual Machine JVM 1 5 oder h her installiert ist wie Macintosh Windows 95 oder Windows 98 Computer wird der Kiosk modus ber ein Java Applet bereitgestellt Macintosh Computer unterst tzen nur dann den Kioskmodus wenn Safari als Browser sowie JRE 1 5 installiert sind
69. dieser Einstellungen in der Konsole finden Sie im Administratorhandbuch f r Citrix Access Gateway Advanced Edition Wenn Sie die Verwaltung mit Advanced Access Control deaktivieren werden die Einstellungen in der Access Management Console deaktiviert und die vorhande nen Konfigurationswerte werden entfernt Die Einstellungen die zuvor auf dem Access Gateway konfiguriert waren werden wiederhergestellt So aktivieren Sie Advanced Access Control l Wahlen Sie auf der Registerkarte Access Gateway Cluster ein Access Gateway Ger t aus und klicken Sie auf die Registerkarte Advanced Options 2 Aktivieren Sie die Option Advanced Access Control 3 Geben Sie im Feld Server running Advanced Access Control die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein auf dem die Access Management Console ausgef hrt wird 4 Wenn die Kommunikation zwischen dem Access Gateway und dem Server auf dem Advanced Access Control ausgef hrt wird verschl sselt werden soll aktivieren Sie Secure server communication 5 Klicken Sie auf Submit 38 Access Gateway Standard Edition Administratorhandbuch Die Server die so konfiguriert sind dass sie eine Verbindung zum Access Gateway herstellen werden unter Servers Running Advanced Access Control aufgelistet Wenn Sie einen Server aus dieser Liste entfernen m chten w hlen Sie den Server aus und klicken Sie dann auf Remove Hinweis Bei der Bereitstellung des Access Gat
70. eindeutigen IP Adresse oder einem eindeutigen vollqualifizierten Dom nennamen konfiguriert Der Secure Access Client ein 276 Citrix Access Gateway Standard Edition Administratorhandbuch Webbrowser oder Kioskverbindungen greifen tiber diese Adresse auf den Load Balancer zu Der Load Balancer verteilt die Clientverbindungen gleichm ig auf die Ger te die hinter ihm bereitgestellt sind Sobald eine Clientverbindung eingeht w hlt der Load Balancer mithilfe eines Algorithmus eines der Ger te in der Liste aus und leitet die Clientverbindung an das ausgew hlte Access Gateway weiter Neben der gleichm igen Verteilung der Clientverbindungen tr gt ein Load Balancer auch zur hohen Verf gbarkeit des internen Netzwerks bei Einige Load Balancer sind in der Lage den Ausfall von Ger ten zu erkennen die sich hinter ihnen befinden Wenn ein Load Balancer erkennt dass ein Ger t aus gefallen ist entfernt der Load Balancer das betreffende Ger t aus der Liste der verf gbaren Ger te und leitet die Clientverbindungen an die verbleibenden aktiven Ger te um Sobald das Access Gateway wieder online ist wird es durch den Load Balancer wieder in die Liste der aktiven Ger te aufgenommen So wird sichergestellt dass alle Clientverbindungen auch dann ununterbrochen Zugriff auf das interne Netzwerk erhalten wenn ein Access Gateway ausf llt Konfigurieren des Lastausgleichs Installieren und konfigurieren Sie den Load Balancer gem der
71. eine unsichere Verbindung auf Port 80 herzustellen konvertiert das Access Gateway diesen Verbindungsversuch automatisch in eine sichere mit SSL verschl sselte Verbindung auf Port 443 So leiten Sie unsichere Verbindungen um 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf die Registerkarte General Networking 3 Klicken Sie auf die Schaltfl che Advanced 4 Aktivieren Sie die Option Redirect any requests for port 80 to a secure port 5 Klicken Sie auf OK Hinweis Wenn Sie die Standardeinstellung Do not accept connections on port 80 verwenden schlagen alle Verbindungsversuche auf Port 80 fehl und es wird nicht versucht sie an Port 443 umzuleiten 48 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren der TCP IP Einstellungen fur eine Double Hop Bereitstellung Das Access Gateway kann in einer Double Hop DMZ installiert werden um Zugriff auf eine Serverfarm zu geben Weitere Informationen ber diese Art der Bereitstellung finden Sie unter Bereitstellen des Access Gateways in einer Double Hop DMZ auf Seite 223 Neustarten des Access Gateways Starten Sie das Access Gateway nach der Konfiguration der Netzwerk einstellungen neu So starten Sie das Access Gateway neu 1 Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Klicken
72. erhalten alle lokalen Benutzer die fiir diese Gruppe konfigu rierten Einstellungen Sie k nnen den Zugriff einschr nken indem Sie zus tz liche Gruppen auf dem Access Gateway konfigurieren und dann entscheiden ob sie denselben Zugriff wie die Standardbenutzergruppe erhalten sollen Beispiel Zwei Benutzer geh ren einer Gruppe tempor rer Mitarbeiter an Sie d rfen Verbindungen zu bestimmten Unternehmensressourcen z B einem Exchange Server und einem Dateiserver herstellen Wenn sie die Einstellungen der Standardgruppe erben erhalten sie dadurch unter Umst nden Zugriff auf Ressourcen die nur f r festangestellte Mitarbeiter bestimmt sind In den Benutzergruppeneigenschaften k nnen Sie festlegen ob Benutzer die Einstellungen der Standardgruppe erben sollen F r die Standardgruppe ist diese Option nicht verf gbar So aktivieren oder deaktivieren Sie die Eigenschaften der Gruppe Default 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf die Benutzergruppe und klicken Sie dann auf Properties 3 F hren Sie einen der folgenden Schritte aus e Wenn die Benutzer die Einstellungen der Standardgruppe nicht erben sollen deaktivieren Sie die Option Inherit properties from the Default group Wenn die Benutzer die Einstellungen der Standardgruppe erben sollen aktivieren Sie die Option Inherit properties from the Default group 4 Klicken Sie auf OK
73. es Ihr lokaler Computer Hinweis Wenn Sie Strg Alt Entf ber den VNC Server an den verbun denen Server senden m chten dr cken Sie Umschalt Strg Alt Entf Instant Messaging Gaim ist ein Instant Messaging Client der die Verwendung mehrerer IM Anwen dungen unterst tzt Zu diesen Anwendungen geh ren u a AOL Instant Messenger ICQ Oscar Protocol MSN Messenger Yahoo Messenger IRC Gaim Benutzer k nnen sich gleichzeitig an mehreren Konten unterschiedlicher IM Netzwerke anmelden So konfigurieren Sie Instant Messaging 1 W hlen Sie auf der Anmeldeseite die Option ffentlicher Computer und melden Sie sich an Doppelklicken Sie im Webbrowser auf das Gaim Symbol Folgen Sie den Anweisungen in Gaim um Instant Messaging Anwendungen hinzuzuf gen und die Anmeldung ber diese Anwendungen vorzunehmen Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 165 Konfigurieren von Dateifreigaben fur den Kioskmodus Wenn ein Benutzer eine Verbindung tiber einen Webbrowser herstellt und die Option ffentlicher Computer w hlt ffnet das Access Gateway eine Kiosk modusverbindung Falls Dateifreigaben konfiguriert sind kann der Benutzer mit Dateien arbeiten die sich in den Freigaben befinden Die Dateien werden nicht auf den ffentlichen Computer heruntergeladen Die f r den Benutzer verf g baren Netzwerkfreigaben werden auf der Registerkarte Access Policy Manager konfiguriert
74. f r Failover konfiguriert sind ohne sich hinter einem Load Balancer zu befinden muss auf jedem Ger t ein eindeutiges SSL Serverzertifikat installiert sein Befinden sich die Ger te in einem Cluster konfigurieren Sie auf mindes tens einem Ger t im Netzwerk die Einstellungen auf den Registerkarten Access Policy Manager Authentication Global Cluster Policies Portal Page Configuration und Group Priority Kapitel 13 Installieren zusatzlicher Access Gateway Gerate 273 Erstellen eines Clusters mit Access Gateway Geraten Wenn Sie mehrere Ger te im Netzwerk nutzen und jedes Ger t dieselben Einstel lungen verwendet k nnen Sie einen Cluster erstellen Die Einstellungen die ver ffentlicht werden k nnen werden auf einem Access Gateway konfiguriert und dann f r die anderen Ger te ver ffentlicht Alle Ger te im Cluster werden im Administration Tool auf der Registerkarte Access Gateway Cluster aufgef hrt Hierdurch lassen sich Konfiguration und Wartung der Ger te im Netzwerk schnell und einfach erledigen Die Einstellungen auf der Registerkarte Access Gateway Cluster gelten f r ein zelne Access Gateway Ger te und werden nicht im Cluster ver ffentlicht Hierzu geh ren folgende Einstellungen Allgemeine Netzwerkeinstellungen Registerkarte General Networking Protokollierung Registerkarte Logging Verwaltung Registerkarte Administration Zertifikate Registerkarte Certificates Lizenzierung Registerkarte
75. f r Interface 0 konfigurieren Sie die TCP IP Einstellungen f r Interface 1 mit dem Administration Tool 44 Citrix Access Gateway Standard Edition Administratorhandbuch So konfigurieren Sie TCP IP Einstellungen mit einem seriellen Kabel l Verbinden Sie das serielle Kabel mit der neunpoligen seriellen Schnittstelle am Access Gateway und schlie en Sie das andere Ende an einen Computer an auf dem ein Terminalemulator installiert ist Starten Sie den Terminalemulator auf dem Computer z B HyperTerminal Hinweis HyperTerminal ist nicht automatisch unter Windows 2000 Server oder Windows Server 2003 installiert Installieren Sie HyperTerminal ber die Option Software in der Systemsteuerung Legen Sie f r die serielle Verbindung 9600 Bit s 8 Datenbits keine Parit t und 1 Stoppbit fest Optional kann die Hardware Flusssteuerung aktiviert werden Schalten Sie das Access Gateway ein Nach etwa drei Minuten wird auf dem Computerterminal die serielle Konsole angezeigt Wenn Sie HyperTerminal verwenden dr cken Sie nun die Eingabetaste Geben Sie an der seriellen Konsole die Standardanmeldeinformationen f r den Administrator ein Der Benutzername lautet root und das Kennwort ist rootadmin Wichtig Citrix empfiehlt das Administratorkennwort zu ndern Sie k nnen hierzu das Administration Portal oder die serielle Konsole verwenden Geben Sie zum Festlegen der IP Adresse der Subnetzmaske und des Standard
76. fest ob Remotebenutzern Lese und Schreibrechte oder nur Leserechte f r die Freigabe gew hrt werden Klicken Sie auf OK Hinweis Zum Senden und Empfangen von Dateien kann das FTP Protokoll verwendet werden Nach erfolgter Konfiguration muss die Dateifreigabe der Kioskressource hinzu gefiigt werden So f gen Sie einer Kioskressource eine Dateifreigabe hinzu l Klicken Sie auf der Registerkarte Access Policy Manager im rechten Bereich unter Kiosk Resources mit der rechten Maustaste auf eine Ressource und klicken Sie dann auf Properties 2 W hlen Sie eine Dateifreigabe unter File Share Resources aus und ziehen Sie sie in der Kioskressource unter File Shares auf Shares 3 Klicken Sie auf OK So entfernen Sie eine Dateifreigabe Klicken Sie mit der rechten Maustaste im rechten Bereich der Registerkarte Access Policy Manager auf die Dateifreigabe und klicken Sie dann auf Remove Arbeiten mit Dateifreigaberessourcen Sie k nnen die freigegebenen Netzlaufwerke festlegen auf die in den Sitzungen zugegriffen werden kann Geben Sie dabei f r jedes freigegebene Laufwerk an ob Benutzer nur Lese oder auch Schreibberechtigung besitzen sollen Wenn Benutzern Lese und Schreibrechte einger umt wurden k nnen diese die Dateien auf dem freigegebenen Netzlaufwerk ndern Voraussetzung hierf r ist dass das Konto des Benutzers die entsprechenden Berechtigungen besitzt So arbeiten Sie mit Dateifreigaberessourcen 1 Doppel
77. hlen Sie unter Secondary authentication type den Typ aus mit dem sich die Benutzer als zweites anmelden Weitere Informationen hierzu finden Sie unter Konfigurieren von Zweimethodenauthentifizie rung auf Seite 110 5 Konfigurieren Sie die Einstellungen f r den Bereich und klicken Sie dann auf Submit Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 83 Entfernen von Bereichen Wenn Sie einen Authentifizierungsserver au er Betrieb nehmen oder einen Dom nenserver entfernen k nnen Sie jeden Bereich mit Ausnahme des Bereichs Default entfernen Den Bereich Default k nnen Sie nur entfernen wenn Sie sofort wieder einen neuen Bereich mit diesem Namen erstellen Weitere Informa tionen hierzu finden Sie unter Konfigurieren des Bereichs Default auf Seite 80 So entfernen Sie einen Bereich 1 ffnen Sie auf der Registerkarte Authentication den Bereich der entfernt werden soll 2 Klicken Sie im Men Action auf Remove Bereichsname realm Der Bereich wird entfernt Konfigurieren der lokalen Authentifizierung Bei einer Neuinstallation wird f r den Bereich Default die lokale Authentifizie rung festgelegt Auf diese Weise k nnen sich die Benutzer am Access Gateway anmelden ohne einen Bereichsnamen eingeben zu m ssen Wenn einige Benutzer sich ausschlie lich anhand der lokalen Benutzerliste des Access Gateways authentifizieren k nnen Sie f r den Bereich Default die lokale Authentifizierung beib
78. installierte Zertifikat nicht von einer Zertifizierungsstelle signiert ist wird Secure Access Client Benutzern beider Anmeldung eine Sicherheitswarnung angezeigt Eine solche Sicherheitswarnung wird Secure Access Client Benutzern so lange angezeigt bis Sie ein von einer Zertifizierungsstelle signiertes Zertifikat auf dem Access Gateway und ein entsprechendes Zertifikat auf den Computern der Benut zer installiert haben Benutzer k nnen die Sicherheitswarnung im Dialogfeld mit den Verbindungseigenschaften auch deaktivieren Verwenden von Windows Zertifikaten Das Access Gateway enth lt den Certificate Request Generator mit dem automa tisch eine Zertifikatsanforderung erstellt werden kann Nachdem die Datei von der Zertifizierungsstelle zur ckgesendet wurde kann sie auf das Access Gateway hochgeladen werden Die hochgeladene Datei wird automatisch in das korrekte Format umgewandelt Wenn Sie zum Erstellen des signierten Zertifikats nicht den Certificate Request Generator verwenden m chten empfiehlt Citrix f r die Verwaltung von Zertifi katsaufgaben Win32 OpenSSL zu verwenden N here Informationen zu Win32 Open SSL finden Sie auf der OpenSSL Website unter http www openssl org Bin rdateien f r Win32 Open SSL k nnen von der Website http www openssl org related binaries html heruntergeladen werden Wenn Sie mit der Manipulation von Zertifikaten vertraut sind k nnen Sie auch Tools verwenden um eine PEM formatierte Datei zu ers
79. private Schl ssel verbleibt auf dem Access Gateway w hrend das Zertifikat zum Signieren an die Zertifizie rungsstelle gesendet wird Nachdem das Zertifikat zur ckgesendet wurde wird es auf dem Ger t installiert W hrend der Installation wird das Zerti fikat mit dem kennwortgesch tzten privaten Schl ssel zusammengef hrt Citrix empfiehlt dieses Verfahren zum Erstellen und Installieren sicherer Zertifikate zu verwenden e Installieren Sie ein PEM Zertifikat und einen privaten Schl ssel von einem Windows Computer aus Bei diesem Verfahren werden ein signiertes Zerti fikat und ein privater Schl ssel gemeinsam hochgeladen Das Zertifikat wird von einer Zertifizierungsstelle signiert und dann mit dem privaten Schl ssel zusammengef hrt bersicht ber Zertifikatsignieranforderungen Bevor Sie ein Zertifikat auf das Access Gateway hochladen k nnen m ssen Sie eine CSR Certificate Signing Request Zertifikatsignieranforderung und einen privaten Schl ssel generieren Die CSR wird mit dem im Administration Tool enthaltenen Certificate Request Generator erstellt Der Certificate Request Gene rator ist ein Assistent zum Erstellen einer CSR Datei Die erstellte Datei wird per E Mail zum Signieren an die Zertifizierungsstelle gesendet Die Zertifizierungs stelle signiert das Zertifikat und sendet es an die angegebene E Mail Adresse zur ck Anschlie end k nnen Sie das Zertifikat auf dem Access Gateway installieren Zur sicheren Date
80. schlossen sein muss Wenn ein Benutzer erfolgreich authentifiziert wurde gibt der Dom nencontroller eine Liste aller globalen Gruppen denen der authentifizierte Benutzer angeh rt an das Access Gateway zur ck Das Access Gateway pr ft dann ob auf dem Access Gateway ein Benutzer gruppenname existiert der mit einer globalen Windows NT 4 0 Gruppe berein stimmt der der Benutzer angeh rt Wenn das Access Gateway eine bereinstim mung findet erh lt der Benutzer die Zugangsrechte zu den internen Netzwerken die der Benutzergruppe auf dem Access Gateway zugeordnet sind So konfigurieren Sie NTLM Autorisierung 1 Klicken Sie auf die Registerkarte Authentication und ffnen Sie den Bereich f r den Sie NTLM Autorisierung aktivieren m chten 2 Klicken Sie auf die Registerkarte Authorization 3 Wahlen Sie unter Authorization type die Option NTLM authorization 4 Geben Sie im Feld Server IP Address or FQDN den vollqualifizierten Dom nennamen oder die IP Adresse des Windows NT 4 0 Dom nencontrollers ein der die NTLM Autorisierung durchf hren wird 5 Geben Sie im Feld Server Port die Portnummer ein Der Standardport f r NTLM Authentifizierungsverbindungen ist 139 Hinweis Wenn als Port 0 Null eingegeben wird versucht das Access Gateway automatisch eine Portnummer fiir die Verbindung zu ermitteln 6 Geben Sie im Feld Timeout in seconds die Zeitspanne in Sekunden ein innerhalb derer die Autorisierung abge
81. scripts Session timeout Enable split DNS Enable logon page authentication Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 125 Konfigurieren von Netzwerkressourcen Netzwerkressourcen definieren die Speicherorte auf dem Unternehmensnetz werk auf die autorisierte Benutzer zugreifen k nnen Ressourcengruppen sind mit Benutzergruppen verkn pft um so Richtlinien f r die Ressourcenzugriffs steuerung zu bilden LDAP Server Benutzer informationen Gruppen informationen Ressourcen richtlinie in Client t ientcomputer Kraft Benutzerauthentifizierung lt gt Access Gateway Client erhalt Zugriff auf Ressourcen Netzwerktopologie flir Ressourcengruppen und Authentifizierung Stellen Sie sich vor Sie m chten einer Benutzergruppe den sicheren Zugriff auf Folgendes bereitstellen Subnetz 10 10 x x Subnetz 10 20 10 x IP Adressen 10 50 0 60 und 10 60 0 10 Erstellen Sie zu diesem Zweck eine Netzwerkressourcengruppe indem Sie das folgende Paar aus IP Adresse und Subnetzmaske festlegen 10 10 0 0 255 255 0 0 10 20 10 0 255 255 255 0 10 50 0 60 255 255 255 255 10 60 0 10 255 255 255 255 Die Subnetzmaske k nnen Sie in der CIDR Notation Classless Inter Domain Routing angeben Beispiel Sie k nnten 10 60 0 10 32 als letzten Eintrag festlegen 126 Citrix Access Gateway Standard Edition Administratorhandbuch Beachten Sie beim Arbeiten mit Ressourcengruppen dar
82. seen END CERTIFICATE 2 Speichern Sie die PEM Datei und geben Sie ihr dabei einen Namen wie z B AccessGateway pem Generieren vertrauensw rdiger Zertifikate f r mehrere Ebenen Sie m ssen herausfinden ob Ihr Zertifikat mehrere Ebenen hat und falls dies zutrifft die Zwischenzertifikate entsprechend handhaben Achtung Alle Zertifikate f r das Access Gateway die mehr als eine Ebene haben m ssen s mtliche Zwischenzertifikate enthalten da das System andernfalls unbrauchbar werden k nnte Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 305 So generieren Sie vertrauensw rdige Stammzertifikate f r mehrere Ebenen l ffnen Sie den Internet Explorer und ffnen Sie ber das Access Gateway eine Webadresse Geben Sie z B eine Adresse wie die folgende ein https IP Adresse httpPort www meineseite com wobei gilt IP Adresse ist die IP Adresse des Access Gateways httpPort ist die Access Gateway Portnummer Doppelklicken Sie auf das Schlosssymbol in der rechten unteren Ecke des Browsers Klicken Sie im Fenster Zertifikat auf die Registerkarte Zertifizierungspfad Doppelklicken Sie auf die erste Pfadebene um die Zertifikatsinformationen fiir die erste Ebene aufzurufen und klicken Sie auf die Registerkarte Details Klicken Sie unten auf die Schaltflache In Datei kopieren Klicken Sie auf der ersten Seite des Zertifikatsexport Assistenten auf Weiter Klicken Sie auf Base 64 co
83. sind die LDAP Verbindungen standardm ig sicher Beim Konfigurieren des LDAP Servers muss die Gro und Kleinschreibung mit der Schreibung auf dem Server und auf dem Access Gateway identisch sein Wenn das Stammverzeichnis des LDAP Servers festgelegt wird wird auch in allen Unterverzeichnissen nach dem Benutzerattribut gesucht In gro en Verzeichnissen kann sich dies negativ auf die Arbeitsgeschwindigkeit auswirken Citrix empfiehlt daher die Verwendung einer spezifischen Organisationseinheit Die folgende Tabelle enth lt Beispiele f r Benutzerattributfelder f r LDAP Server LDAP Server Benutzerattribut Gro Kleinschrei bung relevant Microsoft Active Directory Server sAMAccountName Nein Novell eDirectory cn Ja IBM Directory Server uid Lotus Domino CN Sun ONE Verzeichnis fr her iPlanet uid oder cn Ja Die folgende Tabelle enthalt Beispiele fiir den Basis DN LDAP Server Basis DN Microsoft Active Directory Server DC citrix DC local Novell eDirectory dc citrix dc net IBM Directory Server Lotus Domino OU City O Citrix C US Sun ONE Verzeichnis fr her iPlanet ou People dc ecitrix de com 88 Citrix Access Gateway Standard Edition Administratorhandbuch Die folgende Tabelle enthalt Beispiele fiir den Bind DN LDAP Server Bind DN Microsoft Active Directory Server CN Administrator CN Users DC citrix DC local Novel
84. verwendet das Unternehmen nur ein LDAP Verzeichnis als Benutzerrepository Bevor der Administrator das Access Gateway fiir die Unterstiitzung von Authentifizierung und Autorisierung mit einem LDAP Verzeichnis konfigurieren kann muss er Informationen tiber das LDAP Verzeichnis sammeln Mit diesen Informationen wird das Access Gateway sp ter zum Herstellen einer Verbindung zum LDAP Verzeichnis konfiguriert um nach Benutzer und Gruppennamen zu suchen Hinweis Welche Informationen zum Konfigurieren eines bestimmten Authen tifizierungs oder Autorisierungstyps erforderlich sind finden Sie in der Access Gateway Standard Edition Installationscheckliste Sie k nnen auch im Administrator Tool auf die Registerkarte Authentication klicken und einen Testauthentifizierungsbereich erstellen der die Authentifizierungs und Autori sierungstypen enth lt die unterst tzt werden m ssen Sammeln Sie die erforder lichen Informationen um die Felder f r die gew hlten Authentifizierungs und Autorisierungstypen auszuf llen In diesem Arbeitsschritt sammelt der Administrator die folgenden Informationen ber das LDAP Verzeichnis IP Adresse des LDAP Servers Die IP Adresse des Computers auf dem der LDAP Server ausgef hrt wird LDAP Serverport Der Port auf dem der LDAP Server Verbindungen abh rt Der Standardport f r LDAP Verbindungen ist Port 389 LDAP Administrator DN und LDAP Administratorkennwort Wenn f r den Zugriff von
85. von Kennw rtern f r Benutzer 000 000 0c cece eee eee 85 Konfigurieren von LDAP Authentifizierung und Autorisierung 86 Konfigurieren der LDAP Autorisierung 0 e eee ee eee eee 90 Gruppenattributfelder f r die LDAP Autorisierung 2222 92 Verwenden von Zertifikaten f r sichere LDAP Verbindungen 93 Bestimmen der Attribute in Ihrem LDAP Verzeichnis 94 Konfigurieren von RADIUS Authentifizierung und Autorisierung 95 RADIUS Autorisierung 2 0 2 0 cence ene enene 98 Ausw hlen der RADIUS Authentifizierungsprotokolle 99 Konfigurieren der RSA SecurID Authentifizierung 222200 100 Konfigurieren der RSA Einstellungen f r einen Cluster 103 Zur cksetzen des Node Secret 0 cece eee eee eee ene eee 103 Konfigurieren der Authentifizierung mit Secure Computing SafeWord 104 Konfigurieren der SafeWord Einstellungen auf dem Access Gateway 105 Konfigurieren der Autorisierung mit SafeWord 2 22222020 106 Konfigurieren von NTLM Authentifizierung und Autorisierung 107 Konfigurieren der NTLM Autorisierung 2 222 0 02 eee eee eee 109 Konfigurieren von Zweimethodenauthentifizierung 2222200 110 ndern der Beschriftung von Kennwortfeldern 2 2 22222c2c 20 111 Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen Konfigu
86. von Systemmeldungsprotokollen auf Seite 283 Sie k nnen das Access Gateway aber auch anweisen System meldungen an einen Systemprotokollserver weiterzuleiten So leiten Sie Access Gateway Systemmeldungen an einen Systemprotokollserver weiter 1 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Logging Settings 2 Geben Sie unter Syslog Settings im Feld Server die IP Adresse des Systemprotokollservers ein 3 Wahlen Sie im Feld Facility die gew nschte Systemprotokollstufe aus 4 Geben Sie im Feld Broadcast interval mins eine Sendefrequenz in Minuten ein Wenn Sie hier 0 eingeben erfolgt die Protokollierung fortlaufend Klicken Sie auf Submit Aktivieren und Anzeigen von SNMP Protokollen Wenn SNMP Simple Network Management Protocol aktiviert ist meldet das Access Gateway die MIB II Systemgruppe 1 3 6 1 2 1 Das Access Gateway unterst tzt keine Access Gateway spezifischen SNMP Daten Sie k nnen ein SNMP Uberwachungstool z B Multi Router Traffic Grapher konfigurieren um vom Access Gateway gemeldete SNMP Daten grafisch darzu stellen Ein Beispiel fiir eine MRTG Ausgabe finden Sie unter Beispiel fiir eine MRTG Ausgabe auf Seite 287 So aktivieren Sie die Protokollierung von SNMP Meldungen 1 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Logging Settings 2 Wahlen Sie unter SNMP settings die Option Enable SNM
87. von Systemstatistiken Klicken Sie zum Abrufen allgemeiner statistischer Systeminformationen auf die Registerkarte Access Gateway Cluster und dann auf die Registerkarte Statistics Die statistischen Angaben bieten einen berblick ber das Access Gateway und enthalten folgende Informationen Die Version des Access Gateways Dauer der Ausf hrung des Access Gateways Speichernutzung Maximale und verwendete Verbindungen Die Angabe der maximalen Verbindungen steht f r die Anzahl der Lizenzen die f r die Verwendung mit dem Access Gateway verf gbar sind Anmeldeinformationen f r Administratoren Secure Access Client Verbindungen und Kioskverbindungen berwachen der Access Gateway Operationen Das Access Gateway enth lt eine Reihe von Linux Standard berwachungs anwendungen sodass Sie bequem von einem zentralen Standort aus auf die Anwendungen zugreifen k nnen Mit Ausnahme des von Citrix entwickelten Real time Monitors unterliegen die im Access Gateway enthaltenen Anwen dungen der ffentlichen GNU Lizenz Die berwachungsanwendungen befinden sich auf dem Administration Desktop ber die Symbole auf dem Bildschirm unten links k nnen Sie mit einem einzigen Mausklick auf die sechs vorhandenen berwachungstools zugreifen Der rechten unteren Ecke k nnen Sie die Prozess und Netzwerkaktivit tsstufen entnehmen Gehen Sie zum Anzeigen numerischer Daten mit der Maus ber die beiden Diagramme Anhang A Uber
88. wird angezeigt 2 Geben Sie Ihre Anmeldeinformationen ein und ffnen Sie dann eine Anwendung Wenn Sie einen Server aus dieser Liste entfernen m chten w hlen Sie den Server aus und klicken Sie dann auf Remove 216 Citrix Access Gateway Standard Edition Administratorhandbuch Verwenden des Webinterface als Anmeldeseite Wenn Benutzer eine Verbindung zu Computern herstellen auf denen Presentation Server ausgeftihrt wird kann das Webinterface auf einem Server in der DMZ oder im Unternehmensnetzwerk installiert sein Wenn Benutzer statt zur Access Gateway Standardanmeldeseite eine Verbindung zum Webinterface herstellen sollen k nnen Sie dies auf der Registerkarte Access Policy Manager konfigurieren So konfigurieren Sie das Webinterface als Anmeldeseite 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager unter User Groups auf eine Gruppe und klicken Sie dann auf Properties 2 Wahlen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface 3 Geben Sie im Feld Path den Pfad des Servers ein auf dem das Webinterface gehostet wird 4 Geben Sie im Feld Web server die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein auf dem das Webinterface gehostet wird 5 Klicken Sie auf Use a secure connection um die Verbindung zu sichern Klicken Sie auf OK Konfigurieren von Single Sign On beim Webinterface Das Access Gateway kann f r das Single Sign O
89. wird sichergestellt dass die Access Gateway Firewall zug nglich ist und den Remotecomputern die M glichkeit gibt von ihrem Standort innerhalb der Firewalls anderer Unternehmen aus auf private Netzwerke zuzugreifen ohne dass es dabei zu Problemen kommt So kann die Verbindung beispielsweise ber einen Zwischenproxy wie einen HTTP Proxy hergestellt werden indem ein CONNECT HTTPS Befehl an den Zwischenproxy gesendet wird Alle Anmeldeinformationen die der Zwischen proxy ben tigt werden wiederum vom Remotebenutzer bezogen ber die Single Sign On Informationen oder eine Aufforderung zur Eingabe der entsprechenden Informationen und dann dem Zwischenproxyserver bereitgestellt Nachdem die HTTPS Sitzung eingerichtet wurde wird der eigentliche Datenverkehr verschl s selt und in Form von sicheren Paketen an das Access Gateway gesendet Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 145 Beenden des sicheren Tunnels und Zurucksenden von Paketen an den Client Das Access Gateway beendet den SSL Tunnel und akzeptiert eingehende Pakete die f r das private Netzwerk bestimmt sind Wenn die Pakete die Autorisierungs und Zugriffssteuerungskriterien erf llen erzeugt das Access Gateway die IP Header der Pakete neu sodass sie aussehen als stammten sie aus dem IP Adressbereich des privaten Netzwerks in dem sich das Access Gateway befindet oder von der vom Client zugewiesenen privaten IP Adresse Das Access G
90. 0 Bereitstellen von Zugriff auf veroffentlichte Anwendungen Benutzerverbindungen zu einer Serverfarm 2 22 0 0 0 ee cee eee eee 194 Ersetzen von Secure Gateway 00 ccc cee teens 197 Vorbereiten der Migration auf das Access Gateway 00005 200 Migrieren von Secure Gateway auf das Access Gateway 201 berwachen des Access Gateways nach der Installation 204 Konfigurieren des Webinterface 0 ccc ct ees 204 Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ 205 Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ 206 Bereitstellen des Webinterface im sicheren Netzwerk 207 Konfigurieren des Webinterface f r die Authentifizierung 207 Einrichten und Testen des Webinterface 0 eee ee eee eee 209 Konfigurieren des Webinterface 0 0 ccc cee eee eee 209 Konfigurieren der Secure Ticket Authority 0 0 000 cee cee eee 212 Konfigurieren der ICA Zugriffssteuerung 0 2 0 0 eee eee 214 Verwenden des Webinterface als Anmeldeseite 0 00 0 eee eee 216 Konfigurieren von Single Sign On beim Webinterface 2 216 Konfigurieren des Access Gateways f r Single Sign On beim Webinterface ne erhellt Dei seite 218 Konfigurieren des Webinterface f r Single Sign On 219 Aktivieren der Sitzungszuverl ssigkeit 222222220 cc cece eee 22
91. 2 Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ Daten bertragung in einer Double Hop DMZ Konfiguration 225 Clientauthentifizierung 222222eseeseeeeeeeeeeeee nee 226 Erstellung von Sitzungstickets 2 0 eee eee eens 227 Verbindungsherstellung 00 cect nee eens 227 Vorbereiten der Bereitstellung einer Double Hop DMZ 228 Unterst tzen von Lastausgleich 0 0 ccc ccc eee nn 229 Verwenden der Anmeldeseitenauthentifizierung in einer Double Hop DMZ 230 Planen der Installation des Access Gateway Administration Tools 232 ffnen von Ports und Verwalten von Zertifikaten 22222220 234 F r die Bereitstellung erforderliche Komponenten 222 2 234 9 Citrix Access Gateway Standard Edition Administratorhandbuch Installieren des Access Gateways in einer Double Hop DMZ 239 Schritt 1 Installieren eines Access Gateways in der ersten DMZ 236 Schritt 2 Aktivieren oder Deaktivieren der Anmeldeseitenauthentifizierung 236 Schritt 3 Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface 0 c cece eee eee 237 Schritt 4 Installieren eines Access Gateways in der zweiten DMZ 238 Schritt 5 Konfigurieren des Access Gateways f r die Kommunikation mit dem Access Gateway Proxy 0 0 cece cect ene eens 239 Schritt 6 Konfigurieren des Access Gateway P
92. 2 Ung ltige Datei 336 Secure Access Client 18 21 ActiveX Steuerelement 152 Administratoren 149 Aktualisieren fr herer Versionen 151 Anmelden 153 190 Betrieb mit Proxyservern 148 Desktopfreigabe 21 Funktion zum automatischen Aktualisieren 338 Gleichzeitige Verbindung mit Citrix Presentation Server Clients 195 Installieren 153 IP Pooling 168 Link zu Website 189 Linux Unterst tzung 74 Mit Firewalls verwenden 143 Mit Proxys verwenden 143 Proxyserver konfigurieren 148 Proxyservereinrichtung 155 Split DNS 169 Status 268 Systemanforderungen 140 Verbindung mit fr heren Versionen 150 Verbindungsprotokoll 285 VPN Software von Drittanbietern 339 Windows XP 338 Windows 2003 Server 338 Zugriffssteuerungsliste Access Control List ACL 157 Secure Gateway Ersetzen 197 Migrieren zum Access Gateway 201 Secure Socket Layer 142 Verschl sselungsart ausw hlen 180 Secure Ticket Authority 28 193 ICA Datei 208 Sitzungsticket 208 Serielle Konsole 22 Administratorkennwort 43 Konfigurieren der TCP IP Einstellungen 42 44 Optionen 43 Problembehandlung 336 Verwaltungsport aktivieren oder deaktivieren 43 Serielles Kabel 40 Serverfarm Beschreibung 193 Serverzertifikat 295 Installation 300 Service 15 Sicherheit 27 Zertifikatverwaltung 27 Sicherheitskonzepte 291 Single Sign On Webinterface 216 237 Windows 149 Sitzungsticket 208 ICA Datei 208 Sitzungstimeout 21 119 120 171 Smartcard Mit Webinterface 206 SNMP 286 Einstellun
93. 20 Citrix Access Gateway Standard Edition Administratorhandbuch Als eigenst ndiges Ger t in der DMZ arbeitet das Access Gateway folgenderma en Ein Remotebenutzer l dt den Secure Access Client herunter indem er eine Verbindung zu einer sicheren Webadresse herstellt und seine Authentifizie rungsinformationen eingibt Nach dem Herunterladen des Secure Access Clients meldet sich der Benutzer an Wenn die Authentifizierung des Benutzers erfolgreich war richtet das Access Gateway einen sicheren Tunnel ein Sobald der Remotebenutzer versucht ber den VPN Tunnel auf die Netzwerkressourcen zuzugreifen verschl sselt der Secure Access Client den gesamten Netzwerkverkehr der f r das Intranet der Organisation bestimmt ist und leitet die Pakete an das Access Gateway weiter Das Access Gateway fungiert als Endpunkt des SSL Tunnels terminiert den Tunnel akzeptiert den eingehenden Verkehr der f r das private Netzwerk bestimmt ist und leitet den Verkehr an das private Netzwerk weiter Das Access Gateway sendet den Verkehr ber einen sicheren Tunnel zum Remotecomputer zur ck Neue Funktionen Diese Version des Access Gateways enth lt folgende neue Funktionen Double Hop DMZ Unterstiitzung f r Citrix Presentation Server Durch die Bereitstellung des Access Gateways in einer Double Hop DMZ schaffen Sie einen zentralen Zugriffspunkt auf eine Serverfarm die sich in einem internen Netzwerk befindet In dieser Konfiguratio
94. 3 Ziehen Sie die Netzwerkressource Gastressource aus dem rechten Bereich der Registerkarte Access Policy Manager auf Network Policies der Gruppe Default im linken Bereich Hinweis Wenn sich ein Benutzer anmeldet und keine Gruppen informationen abrufen kann verwendet er stets die Einstellungen der Gruppe Default Nach Ausf hrung dieser Arbeitsschritte hat der Administrator Folgendes bewirkt Silvio Branco und Lisa Marth k nnen die Benutzeranmeldeinformationen Gast Silvio Branco oder Gast Lisa Marth zur Authentifizierung beim Bereich Gast auf dem Access Gateway eingeben Bei der Authentifizierung m ssen Silvio Branco und Lisa Marth den Bereichsnamen als Bestandteil ihrer Benutzeranmeldeinformationen einschlieBen da sie sich bei einem Bereich authentifizieren der nicht der Authentifizierungsbereich Default ist Silvio Branco und Lisa Marth verwenden auBerdem das Kennwort das der Administrator f r sie f r die Authentifizierung beim Access Gateway festgelegt hat Der Administrator hat diese Kennw rter beim Erstellen von Silvio Branco und Lisa Marth als lokale Benutzer auf dem Access Gateway eingegeben e Silvio Branco und Lisa Marth d rfen auf alle in der Zugriffssteuerungsliste der Benutzergruppe Default definierten Ressourcen zugreifen da No authorization als Autorisierungstyp des Bereichs Guest angegeben ist In diesem Beispiel k nnen Silvio Branco und Lisa Marth nur auf den Webkonferenzserver im intern
95. 33 VNC Client 158 163 VoIP Voice over IP 22 181 Latenz verbessern 182 Vorauthentifizierungsrichtlinien Anmelden 192 Konfigurieren 137 Vorlagen Portalseite 185 258 Portalseite anpassen 187 Vom Administration Portal 258 Von Portalseite herunterladen 186 W Wartung Administration Portal 259 Administration Tool 256 Webadresse des Administration Portals 260 Webbrowser Firefox 158 Webinterface 18 120 Als Anmeldeseite konfigurieren 216 Anmelden 190 Anwendungen nicht verfiigbar 331 Authentifizierung 193 207 Bereitstellen im sicheren Netzwerk 207 Bereitstellen mit dem Access Gateway 204 Bereitstellen parallel zum Access Gateway 205 Bereitstellung 28 Bereitstellung im sicheren Netzwerk 30 Bereitstellung in DMZ hinter Access Gateway 30 Bereitstellung in DMZ parallel zum Access Gateway 30 Hinter Access Gateway bereitstellen 206 ICA Zugriffssteuerung 214 Problembehandlung 331 Single Sign On 216 237 Smartcard Bereitstellung 206 Zugriff ohne Anmeldeinformationen 331 Websitzungstimeout 172 whois Abfrage 289 Wiederherstellen der Systemkonfiguration 264 Windows Anmeldeskripte 170 Single Sign On 149 Windows NT LAN Manager siehe NTLM Authentifizierung Windows XP Secure Access Client 338 WINS Problembehandlung 339 WINS Server Einstellungen 62 Secure Access Client Fenster 157 X xNetTools 289 X 509 Standard 296 Index 351 Z Zertifikate 27 291 295 Ablaufen 298 Access Gateway Advanced Edition 178 Authentifiz
96. 5 Jedes Access Gateway im Cluster wird auf der Registerkarte Publish aufgefiihrt Im Feld Synchronization Status wird f r jedes Ger t eine der folgenden Synchronisierungsmeldungen angezeigt In Syne Die Access Gateway Konfiguration wurde erfolgreich ver ffentlicht Not in Sync Die Einstellungen wurden ge ndert aber nicht ver ffentlicht Sync Failed Die Synchronisierung des Access Gateways ist fehlgeschlagen berpr fen Sie das Ger t und versuchen Sie es dann erneut Unknown Status Der Status des Access Gateways kann nicht ermittelt werden berpr fen Sie das Ger t und versuchen Sie es dann erneut Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers Durch die Bereitstellung mehrerer Ger te hinter einem Load Balancer k nnen Sie eine gro e Anzahl Remotebenutzer unterst tzen und dabei die hohe Verf gbar keit des internen Netzwerks f r die Benutzer sicherstellen Der gemeinsam mit den Ger ten bereitgestellte Load Balancer muss den Las tausgleich auf der Grundlage der Ursprungs IP Adresse Src IP oder der SSL Sitzungs IDs SSL ID untersttitzen Sicheres Netzwerk wi E Mail Server Access Gateway FIREWALL ber den Secure Internet Server Load Access Client Balancer verbundenes Clientger t FIREWALL f EX Access Gateway Web oder Anwendungs server Mehrere Access Gateway Ger te hinter einem Load Balancer Der Load Balancer ist mit einer
97. 512 Bit Schliisselpaaren 00 0 cece eee eee 337 Laufwerkszuordnung kann nicht mit einer Anwendungsrichtlinie eingeschr nkt werden so seinere te cece cece teen teen eens 337 Secure Access Client nn een nn 338 Secure Access Client Verbindungen mit Windows XP 22 222 338 DNS Namensaufl sung mit Namensdienstanbietern 338 Funktion zum automatischen Aktualisieren 0 002 eee eee 338 Von Windows Server 2003 Computern ausgehende Clientverbindungen 338 NTLM Authentifizierung 0 nenn 339 WINS Eintr ge oi ae en Peden eA el BER BE a Bere nen 339 Verwendung von Drittanbieter Clientsoftware 000 0 e eee 339 Einfuhrung In diesem Kapitel werden die Zielgruppe des Citrix Access Gateway Administra torhandbuchs der Aufbau dieses Handbuchs und die verwendeten typografischen Konventionen beschrieben Hinweise zur Benutzung dieses Handbuchs Dieses Benutzerhandbuch richtet sich an Systemadministratoren die mit der Installation und Konfiguration des Access Gateways betraut wurden Dabei wird davon ausgegangen dass das Access Gateway mit einem vorhandenen Netzwerk verbunden ist und dass der Administrator tiber die notwendigen Kenntnisse zum Konfigurieren dieses Netzwerks verfiigt Bei den Konfigurationsschritten in diesem Dokument wird vorausgesetzt dass das Access Gateway als eigenst ndige Anwendung bereitgestellt wird und dass Benutzer eine direkte Verbindung z
98. 63 VNC Client 163 Zertifikat 334 Knowledge Center 15 Knowledge Center Watches 16 Konfiguration Anwendungsrichtlinie 129 Authentifizierung ohne Autorisierung 80 Benutzergruppen 117 121 Endpunktressourcen 131 Endpunktrichtlinie 133 Lokale Benutzer 84 Netzwerkressource 126 Ressourcengruppen 119 Split Tunneling 117 Standardgateway 46 Vorauthentifizierungsrichtlinien 137 Konfigurationsbeispiele Anwendungsrichtlinie 322 Gruppenzugriff gew hren 318 LDAP Authentifizierungsbereich 317 Lokale Autorisierung 329 Lokale Benutzer 325 Netzwerkzugriff 308 Zug ngliche Netzwerke 315 Kreuzkabel 40 45 Kryptografie 292 293 Allgemeine Informationen 291 Asymmetrische Verschl sselung 293 Geheimschl ssel 293 ffentlicher Schl ssel 293 Symmetrischer Schl ssel 293 Kulanzzeitraum Lizenzen 54 Kurse 16 L Lastausgleich 35 Double Hop DMZ 229 Laufwerkszuweisung Zugriff einschr nken 337 LDAP Browser 94 LDAP Authentifizierung 28 86 142 Gruppenmitgliedschaft 91 Konfigurationsbeispiele 309 317 Konfigurieren 88 Ports 86 Verzeichnisattribute suchen 94 Zertifikate 93 LDAP Autorisierung 86 90 Gruppenattribute 92 Konfigurationsbeispiele 309 Konfigurieren 92 Link Modes Serielle Konsole 43 Linux Unterstiitzung Client 74 Befehlszeilenoptionen 74 Client entfernen 74 Link zu Website 189 Neustart 74 Status berpr fen 74 346 Citrix Access Gateway Standard Edition Administratorhandbuch Lizenzen Abrufen 50 Aktualisieren 54 Fil
99. Access Gateway erstellen und das Access Gateway so konfigurieren dass diesen Benutzern Authentifizierungs und Autorisierungsdienste zur Verf gung stehen Diese Liste lokaler Benutzer wird in einer Datenbank auf dem Access Gateway also nicht in einem externen Verzeichnis verwaltet 326 Access Gateway Standard Edition Administratorhandbuch Lokale Benutzer eignen sich insbesondere wenn der Administrator einen der folgenden Schritte ausf hren m chte Gew hren von Zugriff f r Benutzer die in keinem unternehmensinternen Verzeichnis aufgef hrt sind Gew hren von Zugriff f r Benutzer die in einem unternehmensinternen Verzeichnis aufgef hrt sind zu dem das Access Gateway keine Verbindung herstellt Gew hren bestimmter Zugriffsrechte auf die internen Netzwerkressourcen f r einen kleinen Benutzerkreis ohne f r diese Benutzer eine neue Gruppe im unternehmensinternen Verzeichnis erstellen zu m ssen Bei diesem Beispiel wird von Folgendem ausgegangen Silvio Branco und Lisa Marth sind Berater die nicht f r das Unternehmen arbeiten und auch nicht im Unternehmensverzeichnis aufgef hrt sind Silvio Branco und Lisa Marth m ssen Remotezugriff auf den Webkonfe renzserver im internen Netzwerk haben damit sie an Konferenzen mit Benutzern aus den Bereichen Vertrieb und Technik teilnehmen k nnen die Angestellte des Unternehmens sind Der Administrator hat die weiter oben in diesem Kapitel beschriebene LDAP Authentifizierung un
100. Access Gateway management neben Shut down the appliance auf Shut down oder Klicken Sie im Men Action auf Shut down Access Gateway Name wobei Access Gateway Name der Name des Ger ts ist Das Access Gateway kann auch mit dem Administration Portal heruntergefahren werden So fahren Sie das Access Gateway ber das Administration Portal herunter Klicken Sie auf der Registerkarte Maintenance neben Shut down the server auf Shut down Initialisieren des Access Gateways Nach dem ndern der Verwaltungseinstellungen m ssen Sie das Access Gateway initialisieren damit die nderungen wirksam werden Wenn die Initialisierung des Access Gateways erforderlich ist wird im Administration Tool im Bereich Alerts eine Meldung angezeigt Beim Initialisieren des Access Gateways werden alle Benutzer vom Access Gateway getrennt Sie sollten die Initialisierung daher zu Zeiten durchf hren wenn m glichst wenige Benutzer mit dem Access Gateway verbunden sind So initialisieren Sie das Access Gateway Klicken Sie auf der Registerkarte Administration neben Initialize the appliance auf Initialize Kapitel 12 Warten des Access Gateways 267 Zulassen von ICMP Verkehr ICMP Verkehr Internet Control Message Protocol zum Access Gateway ist standardm ig deaktiviert Wenn Sie ICMP Verkehr zulassen m chten verwen den Sie die Registerkarte Access Gateway Cluster gt Administration Wenn ICMP Verkehr zugelassen ist k nnen die Benut
101. Anweisun gen zum Routen des ICA Verkehrs durch das Access Gateway als ob es ein Server w re auf dem Secure Gateway ausgef hrt wird Die vom Webinterface gelieferte ICA Datei enth lt ein von der Secure Ticket Authority ausgestelltes Sitzungsticket Das Ticket wird bereitgestellt sobald der Presentation Server Client eine Verbin dung zum Access Gateway herstellt Das Access Gateway ruft die Secure Ticket Authority auf um das Sitzungsticket zu validieren Wenn das Ticket noch g ltig ist wird der ICA Verkehr des Benutzers an den Server in der Serverfarm weiter geleitet Wenn das Webinterface parallel zum Access Gateway in der DMZ ausgef hrt wird muss keine Authentifizierung auf dem Access Gateway konfiguriert werden Serverfarm Access Gateway Ver ffentlichte Anwendungen Internet Ver ffentlichte Client verbundenes Webinterface parallel Anwendungen Clientger t zum Access Gateway installiert Secure Ticket Authority Das Webinterface ist parallel zum Access Gateway installiert Clientverbindungen werden zur Authentifizierung zuerst zum Webinterface gesendet Nach der Authentifizierung werden die Verbindungen durch das Access Gateway weitergeleitet 206 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Smartcardzugriff mit dem Webinterface Wenn Benutzer sich mit Citrix Presentation Server Clients direkt beim Webinter face anmelden und Smartcardauthentifizierung verwen
102. Anwendungen auf das LDAP Verzeichnis eine Authentifizierung erforderlich ist muss der Administrator den Namen des Benutzerkontos mit dem das Access Gateway diese Authentifizierung vornehmen soll sowie das mit diesem Konto verkn pfte Kennwort kennen 314 Access Gateway Standard Edition Administratorhandbuch LDAP Basis DN Das Basisobjekt des Verzeichnisses oder die Verzeichnisebene in dem Benutzernamen gespeichert werden Auf dieser Verzeichnisebene m ssen alle Remotebenutzer einen Personeneintrag haben Nachstehend einige Beispielwerte ou Benutzer dc ace dc com cn Benutzer dc ace dc com LDAP Attribut f r Serveranmeldung Das Attribut eines Personen eintrags im LDAP Verzeichnis das einen Benutzernamen enth lt Die fol gende Tabelle enth lt Beispiele f r die Benutzernamen Attributfelder f r verschiedene LDAP Verzeichnisse LDAP Server Benutzerattribut Gro Kleinschrei bung relevant Microsoft Active Directory Server sAMAccountName Nein Novell eDirectory cn Ja IBM Directory Server uid Lotus Domino CN Sun ONE Verzeichnis fr her uid oder cn Ja iPlanet LDAP Gruppenattribut Das Attribut des Personeneintrag eines Benutzers das eine Liste der Gruppen enth lt denen dieser Benutzer angeh rt z B memberOf Das LDAP Gruppenattribut wird nur bei der LDAP Autorisierung verwendet Jetzt hat der Administrator alle notwendigen Vorbereitungsschritte fiir die Konfiguration d
103. Authority Diese Anforderung enth lt die IP Adresse des Servers auf dem die ver ffentlichte Anwendung ausgef hrt wird Die Secure Ticket Authority speichert diese IP Adresse und sendet das angeforderte Sitzungsticket an das Webinterface 32 Access Gateway Standard Edition Administratorhandbuch Das Webinterface generiert eine ICA Datei mit dem von der Secure Ticket Authority ausgestellten Ticket und sendet diese Datei an den Clientbrowser Die vom Webinterface generierte ICA Datei enth lt den vollqualifizierten Dom nennamen FQDN oder den DNS Namen des Access Gateways Hinweis Die IP Adresse des Servers auf dem die angeforderte Anwen dung ausgef hrt wird wird dabei dem Client gegen ber nicht offen gelegt Die ICA Datei enth lt Anweisungen f r den Webbrowser zum Starten des Presentation Server Clients Der Client stellt ber den in der ICA Datei aufgef hrten vollqualifizierten Dom nennamen oder DNS Namen des Access Gateways eine Verbindung zum Access Gateway her Es kommt zum ersten SSL TLS Handshake mit dem die Identit t des Access Gateways ermittelt wird Der Presentation Server Client sendet das Sitzungsticket an das Access Gateway und das Access Gateway wendet sich zur Uberpr fung des Tickets an die Secure Ticket Authority Die Secure Ticket Authority gibt die IP Adresse des Servers auf dem die angeforderte Anwendung ausgef hrt wird an das Access Gateway zur ck Das Access Gateway stellt eine TCP
104. Authority im internen Netzwerk um die im Sitzungsticket enthal tene Aliasadresse in die echte IP Adresse eines Computers aufzul sen auf dem Presentation Server ausgef hrt wird Diese Daten bertragung erfolgt ber die zweite DMZ durch den Access Gateway Proxy Dann wird eine Verbindung vom Access Gateway in der zweiten DMZ zu dem Server im internen Netzwerk hergestellt auf dem Presentation Server ausgef hrt wird Das Access Gateway in der ersten DMZ stellt eine endg ltige ICA Verbindung zum Presentation Server Client her Jetzt kann der Presentation Server Client ber beide Access Gateway Ger te mit dem Computer im internen Netzwerk kommunizieren auf dem Presentation Server ausgef hrt wird Vorbereiten der Bereitstellung einer Double Hop DMZ Zur Vorbereitung der Bereitstellung einer Double Hop DMZ sollten Sie als erstes die folgenden Fragen kl ren Durch die Beantwortung dieser Fragen vor der Implementierung k nnen Sie unn tige Probleme bei der Bereitstellung vermeiden Soll Lastausgleich unterst tzt werden Soll die Anmeldeseitenauthentifizierung auf dem Access Gateway aktiviert werden Wo soll das Administration Tool installiert werden Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 229 Welche Ports m ssen in den Firewalls ge ffnet werden Wie viele SSL Zertifikate sind erforderlich Welche Komponenten sind vor dem Starten der Bereitstellung erforderlich Anhand der in diese
105. Befehl Remove Default realm Es wird eine Warnmeldung angezeigt Klicken Sie auf Ja 4 Geben Sie unter Add an Authentication Realm in das Feld Realm name Default ein Hinweis Beim Erstellen eines neuen Bereich Default muss beim Wort Default die Gro und Kleinschreibung beachtet und ein gro es D verwendet werden 5 F hren Sie einen der folgenden Schritte aus Wenn Sie einen einzelnen Authentifizierungstyp konfigurieren w hlen Sie One Source aus und klicken Sie auf Add Wenn Sie Zweimethodenauthentifizierung konfigurieren w hlen Sie Two Source aus und klicken Sie auf Add 6 W hlen Sie unter Authentication type den Authentifizierungstyp aus und klicken Sie dann auf OK 7 Konfigurieren Sie die Authentifizierungseinstellungen Weitere Informationen finden Sie in den folgenden Abschnitten Konfigurieren der lokalen Authentifizierung auf Seite 83 e Konfigurieren von LDAP Authentifizierung und Autorisierung auf Seite 86 e Konfigurieren von RADIUS Authentifizierung und Autorisierung auf Seite 95 Konfigurieren der RSA SecurID Authentifizierung auf Seite 100 Konfigurieren der Authentifizierung mit Secure Computing SafeWord auf Seite 104 e Konfigurieren von NTLM Authentifizierung und Autorisierung auf Seite 107 82 Citrix Access Gateway Standard Edition Administratorhandbuch Erstellen von zusatzlichen Bereichen Neben dem Bereich Defa
106. Citrix Access Gateway Standard Edition Administratorhandbuch Geben Sie in den Feldern Subnet mask die entsprechenden Subnetz masken f r die f r die Schnittstelle n eingegebenen IP Adressen ein Geben Sie unter External FODN den vollqualifizierten Dom nennamen ein Wichtig Der vollqualifizierte Dom nenname muss dem Namen entsprechen der auf dem digitalen Zertifikat und der Lizenz f r das Access Gateway angegeben ist W hlen Sie unter Duplex mode die gew nschte Daten bertragungs richtung aus Die Standardeinstellung lautet Auto Sie k nnen au erdem noch Full Duplex oder Half Duplex ausw hlen W hlen Sie unter Speed Mode die Netzwerkgeschwindigkeit des Adapters aus Die Standardeinstellung lautet Auto Sie k nnen auch 10 Mbps 100 Mbps oder 1000 Mbps ausw hlen Geben Sie unter Maximum transmission unit MTU die bertragungs einheit an die die maximale Gr e des bertragenen Pakets festlegt Der Standardwert ist 1500 Geben Sie unter Port den Port an der f r eingehende Verbindungen verwendet werden soll Der Standardwert ist 443 Wenn Sie ein Standardgateway konfigurieren m chten geben Sie im Bereich Default Gateway unter IP address die IP Adresse des Gateways ein W hlen Sie unter Interface den Netzwerkadapter auf dem Access Gateway aus mit dem das Standardgateway kommuniziert Dies ist abh ngig von Ihrer Netzwerkkonfiguration die IP Adresse des Standardgatewayger ts wie z B des H
107. Citrix Access Gateway Standard Edition Administratorhandbuch Citrix Access Gateway 4 5 Hinweise zu Copyright und Marken Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung Eine druckbare Kopie der Endbenutzerlizenzvereinbarung finden Sie auf der Produkt CD ROM Die in diesen Unterlagen enthaltenen Angaben und Daten k nnen ohne vorherige Ank ndigung ge ndert werden Die in den Beispielen verwendeten Firmen sonstigen Namen und Daten sind frei erfunden sofern nichts anderes angegeben ist Ohne aus dr ckliche schriftliche Erlaubnis von Citrix Systems Inc darf kein Teil dieser Unterlagen f r irgendwelche Zwecke vervielf l tigt oder bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln weder elektronisch noch mechanisch 2005 2006 Citrix Systems Inc Alle Rechte vorbehalten Citrix ICA Independent Computing Architecture und Program Neighborhood sind eingetragene Marken und Citrix Presentation Server Citrix Access Gateway und SpeedScreen sind Marken von Citrix Systems Inc in den USA und anderen L ndern RSA 1996 1997 RSA Security Inc Alle Rechte vorbehalten Dieses Produkt enth lt Software die von OpenSSL Project f r die Verwendung mit dem OpenSSL Toolkit http www openssl org entwickelt wurde AOL Instant Messenger ist eine eingetragene Marke von America Online Inc McAfee Personal Firewall Plus ist eine e
108. Clientger t ein Wenn die ICA Verbindung hergestellt ist verschl sselt und entschl sselt das Access Gateway die Daten die ber die Verbindung gesendet werden Einrichten und Testen des Webinterface Sie m ssen das Webinterface f r die Interaktion mit dem Access Gateway konfigurieren um die Authentifizierungs und Autorisierungsfunktionalit t bereitzustellen Stellen Sie sicher dass die Konfigurationseinstellungen auf dem Server auf dem das Webinterface ausgef hrt wird korrekt die Details der STA widerspiegeln Beachten Sie beim Installieren und Testen des Webinterface wenn dies mit dem Access Gateway bereitgestellt wird die folgenden allgemeinen Hinweise Wichtig Installieren und konfigurieren Sie das Webinterface bevor Sie das Access Gateway installieren Ausf hrliche Anweisungen zum Installieren des Webinterface finden Sie im Webinterface Administratorhandbuch Konfigurieren des Webinterface Achten Sie darauf dass ein g ltiges Serverzertifikat auf dem Access Gateway installiert ist Weitere Informationen zum Arbeiten mit Zertifikaten finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 und Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 291 In den folgenden Schritten werden die Grundeinstellungen beschrieben die f r die gemeinsame Verwendung des Webinterface mit dem Access Gateway konfiguriert werden m ssen Weitere Informationen hierzu finden Sie im Webinterfa
109. Clientproxyeinstellungen im Betriebssystem ab bevor die Richtlinien vom Access Gateway heruntergeladen werden Ist die automati sche Erkennung aktiviert stellt der Secure Access Client die Clientproxyeinstel lungen automatisch auf die Einstellungen ein die im Betriebssystem gespeichert sind Der Secure Access Client baut eine Verbindung zum Access Gateway auf l dt die Vorauthentifizierungsrichtlinien herunter und fordert die Benutzer dann zur Eingabe ihrer Anmeldeinformationen auf Falls der Secure Access Client die Clientproxyeinstellungen nicht automatisch erkennt wird eine direkte Verbin dung ohne den Umweg ber den Proxyserver hergestellt Die automatische Erkennung der Proxyeinstellungen wird im Secure Access Client im Dialogfeld Erweiterte Optionen konfiguriert Au erdem k nnen die Benutzer einen Proxyserver manuell ber den Secure Access Client konfigurieren Bei der manuellen Konfiguration eines Proxyservers wird die automatische Erkennung der Proxyeinstellungen deaktiviert So konfigurieren Sie einen Proxyserver manuell 1 Klicken Sie auf dem Desktop des Clientcomputers auf das Symbol f r den Secure Access Client Das Anmeldedialogfeld wird ge ffnet 2 Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle des Secure Access Client Anmeldedialogfelds und w hlen Sie Erweiterte Optionen 3 Aktivieren Sie im Dialogfeld Citrix Secure Access Optionen unter Proxyeinstellungen die Option Proxyserver manuell konfigurie
110. Computing SafeWord Konfigurieren von NTLM Authentifizierung und Autorisierung Konfigurieren von Zweimethodenauthentifizierung 78 Citrix Access Gateway Standard Edition Administratorhandbuch Voraussetzungen zum Konfigurieren der Authentifizierung auf dem Access Gateway Wenn f r die Gruppe des Benutzers keine dieser Authentifizierungsmethoden konfiguriert ist erfolgt die Authentifizierung anhand der lokalen Benutzerauthen tifizierungsdatenbank des Access Gateways Die Authentifizierung wird in den folgenden F llen auf dem Access Gateway konfiguriert Das Access Gateway wird in der DMZ oder im sicheren Netzwerk bereitgestellt und die Benutzer stellen eine direkte Verbindung zum Ger t her Das Access Gateway wird in der DMZ bereitgestellt und das Webinterface befindet sich ebenfalls in der DMZ hinter dem Access Gateway Das Access Gateway wird in der DMZ und das Webinterface im sicheren Netzwerk bereitgestellt Wenn das Webinterface parallel zum Access Gateway verwendet wird oder das Ger t zur Verwendung von Citrix Presentation Server Clients konfiguriert ist und das Webinterface Verbindungen zu ver ffentlichten Anwendungen in einer Serverfarm herstellt besteht die M glichkeit die Autorisierung auf dem Access Gateway zu konfigurieren Konfigurieren der Authentifizierung auf dem Access Gateway Standardm ig authentifiziert das Access Gateway die Benutzer anhand einer lokal im Access Gateway gespeicherte
111. Dokumentation des Herstellers in der DMZ des Netzwerks Die folgenden Konfigurationsschritte sind erforderlich damit der Load Balancer mit den Access Gateway Ger ten zusammenarbeitet Konfigurieren Sie den Load Balancer f r den Lastausgleich von Verbindun gen zu den Access Gateway Ger ten auf der Grundlage der Ursprungs IP Adressen Src IP oder der SSL Sitzungs IDs SSL ID Um die best m gliche Leistung zu erzielen sollten Sie den Lastausgleich mit SSL ID konfigurieren Konfigurieren Sie den Load Balancer mit einem vollqualifizierten Dom nennamen den das Access Gateway beim Aufbauen der Verbindung zum Load Balancer verwenden soll Konfigurieren Sie den Load Balancer so dass die SSL Verschl sselung nicht beendet wird Die SSL Verbindung muss an das Access Gateway bergeben werden dort erst darf die SSL Verschl sselung beendet werden Kapitel 13 Installieren zusatzlicher Access Gateway Gerate 277 Konfigurieren von Access Gateway Geraten fur den Betrieb hinter einem Load Balancer Im Anschluss an die Installation und Konfiguration des Load Balancers gehen Sie bei den Access Gateway Ger ten die sich hinter dem Load Balancer befinden wie folgt vor Schlie en Sie f r jedes Access Gateway die Netzwerkkabel so an dass das Interface 0 mit dem Load Balancer verbunden ist und das Interface mit dem internen Netzwerk Konfigurieren Sie die Access Gateway Ger te hinter dem Load Balancer f r den Betrieb als C
112. E Mail Server enth lt Dann erstellt der Administrator eine Anwendungsrichtlinie namens E Mail Anwendungsrichtlinie in der die E Mail Anwendung angegeben ist auf die Remotebenutzer zugreifen k nnen Der Administrator weist dieser Anwendungsrichtlinie die Netzwerkressource E Mail Server zu Danach f gt der Administrator den Gruppen Vertriebsau endienst und Au endiensttechniker die E Mail Anwendungsrichtlinie zu Durch das Hinzuf gen der Richtlinie zu diesen Gruppen ist gew hrleistet dass diese Gruppen stets auf die E Mail Anwendung auf dem vom Administrator in der Anwendungsrichtlinie angegebenen E Mail Server zugreifen So implementieren Sie die Anwendungsrichtlinie f r den E Mail Server l Erstellen Sie im rechten Bereich auf der Registerkarte Access Policy Manager im Access Gateway Administration Tool eine neue Netzwerk ressource namens E Mail Server Geben Sie f r diese Netzwerkressource nur die IP Adresse des E Mail Servers an auf den die Benutzer zugreifen d rfen z B 10 10 25 50 32 Diese Vorgehensweise ist im Wesentlichen identisch mit den vorigen Arbeitsschritten bei denen die Netzwerk ressourcen f r die Benutzer in den Bereichen Vertrieb und Technik definiert wurden 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf Application Policies und klicken Sie dann auf New Application Policy 3 Geben Sie im Feld Application Resource Name E Mail Anwendungs richtlinie
113. Gateway Administrator legt auf der Registerkarte Authentication im Administration Tool den Typ der Authentifizierung fest Weitere Informationen hierzu finden Sie unter Konfigurieren der Authentifizierung und Autorisierung auf Seite 77 Wenn auf dem Access Gateway Zweimethodenauthentifizierung konfiguriert ist und die Benutzer sich mit vollen Zugriffsberechtigungen anmelden m ssen sie f r jedes Authentifizierungsverfahren den entsprechenden Benutzernamen und das zugeh rige Kennwort eingeben So k nnte z B festgelegt werden dass die Benutzer die LDAP Authentifizierung und RSA SecurID verwenden m ssen In diesem Fall m ssten die Benutzer ihr Kennwort ihre RSA SecurID PIN und den RSA SecurID Code eingeben Weitere Informationen zum Anmelden mit Zwei methodenauthentifizierung finden Sie unter Anmelden mit Zweimethodenau thentifizierung auf Seite 191 Hinweis Bei Verwendung des Linux Clients sind die in der folgenden Prozedur beschriebenen Optionen im Verbindungsfenster nicht vorhanden Der Secure Access Client wird installiert sobald der Benutzer sich erstmals bei der Portalwebseite anmeldet So installieren Sie den Secure Access Client 1 Geben Sie in einem Webbrowser die Webadresse des Access Gateways ein z B https Awww meinefirma com 2 Falls das Access Gateway eine Anmeldung erfordert geben Sie den Benutzernamen und das Kennwort ein und klicken Sie auf Anmelden 3 W hlen Sie auf der Portalseite d
114. Ger t komplett neu erstellt werden Nach der Neuerstellung des Ger ts k nnen Sie die gespeicherte Konfiguration wiederherstellen Wichtig Das Access Gateway hat das Standardadministratorkennwort rootadmin Wenn Sie das Kennwort auf ein Kennwort mit weniger als sechs Zeichen ndern werden nach dem Upgrade des Ger ts auf Version 4 5 Verbindungen zum Administration Tool und Administration Portal abgelehnt Stellen Sie vor dem Upgrade des Ger ts sicher dass das Administratorkennwort mindestens sechs Zeichen enth lt Wiederherstellen gespeicherter privater Zertifikatschl ssel Die privaten Schl ssel von vom Access Gateway Version 4 5 erstellten Zertifikaten sind jetzt verschl sselt und durch Kennw rter gesch tzt Die neuen privaten Schl ssel sind nicht mit fr heren Versionen der Access Gateway Software kompatibel Aus diesem Grund ist es wichtig vor einem Upgrade die aktuelle Konfiguration zu speichern 262 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn eine gespeicherte Konfiguration auf dem Ger t wiederhergestellt wird ist das Kennwort fiir den privaten Schliissel nicht erforderlich Das Kennwort wird auch beim Speichern der Ger tkonfiguration nicht ben tigt Das Kennwort ist beim Installieren oder Erstellen eines Zertifikats mit Access Gateway Version 4 5 erforderlich Wenn Sie ein neues mit Version 4 5 erstelltes Zertifikat hochladen oder eine gespeicherte Konfiguration einer friiheren Version
115. KioskFTP Symbol ziehen und im Dialogfeld File Download das Ziel ausw hlen Wichtig Wenn Benutzer ber den Kioskmodus angemeldet sind werden Endpunktrichtlinien weder unterst tzt noch durchgesetzt Der Kioskmodus umfasst die folgenden Anwendungen sofern diese auf der Registerkarte User Groups im Administration Tool aktiviert wurden Firefox Webbrowser Ob Firefox und die Standardwebadresse des Browsers enthalten sein sollen wird auf Gruppenbasis konfiguriert Firefox Einstellungen wie z B gespeicherte Kennw rter werden f r die n chste Sitzung beibehalten Freigegebene Netzlaufwerke Dies sind Symbole die den Zugriff auf freigegebene Netzlaufwerke erm glichen Der Benutzer kann Dateien von einer Netzwerkfreigabe herunterladen indem er die entsprechenden Dateien auf das KioskFTP Symbol zieht siehe Konfigurieren von Dateifreigaben f r den Kioskmodus auf Seite 165 Symbole f r den Zugriff auf den VNC Client Remotedesktop den Telnet 3270 Emulator und SSH Die Clients die in der Kiosksitzung enthalten sein sollen konfigurieren Sie auf Gruppenbasis Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 159 Weitere Informationen zur Verwendung der Clients finden Sie in den folgenden Abschnitten Remotedesktopclient auf Seite 162 SSH Client auf Seite 163 Telnet 3270 Emulator Client auf Seite 163 VNC Client auf Seite 163 Instant Messa
116. Kombinieren des privaten Schl ssels mit dem signierten Zertifikat auf Seite 304 Laden Sie das SSL Serverzertifikat und den privaten Schl ssel auf alle Access Gateway Ger te hinter dem Load Balancer hoch A ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway Klicken Sie auf die Registerkarte Administration C Klicken Sie neben Upload a pem private key and signed certificate auf die Schaltfl che Browse D Navigieren Sie zu der Datei in der sich das signierte mit dem privaten Schl ssel versehene PEM Zertifikat befindet markieren Sie diese Datei und klicken Sie auf ffnen Wiederholen Sie Schritt 4 f r alle Access Gateway Ger te hinter dem Load Balancer und laden Sie jeweils den privaten Schl ssel und das PEM Zertifikat auf die einzelnen Access Gateway Ger te hoch Kapitel 13 Installieren zusatzlicher Access Gateway Gerate 279 Festlegen eines Load Balancers als Standardgateway Bei einigen Load Balancern oder Netzwerkkonfigurationen muss der Load Balan cer als Standardgateway fiir das Access Gateway festgelegt werden Wenn Sie den Load Balancer als Standardgateway festlegen konfigurieren Sie statische Routen auf dem Access Gateway sodass der gesamte Datenverkehr der fiir das sichere Netzwerk bestimmt ist an ein internes Netzwerk weitergeleitet wird das diesen internen Datenverkehr problemlos bew ltigen kann Erh lt das Access Gateway ein Paket das an eine unbekann
117. Lieferumfang des Access Gateways geh rt wieder herstellen k nnen Planen der Bereitstellung In diesem Kapitel werden Bereitstellungsszenarien ftir das Access Gateway vorgestellt Sie k nnen das Access Gateway am Rand des internen Netzwerks Intranet Ihres Unternehmens bereitstellen sodass ein zentraler Zugriffspunkt auf alle Servern Anwendungen und andere Netzwerkressourcen im internen Netzwerk entsteht Alle Remotebenutzer m ssen eine Verbindung zum Access Gateway herstellen bevor sie auf die Ressourcen im internen Netzwerk zugreifen k nnen Dieses Kapitel umfasst die folgenden vier Abschnitte Bereitstellen des Access Gateways Bereitstellen des Access Gateways mit Citrix Presentation Server In diesem Abschnitt wird die Bereitstellung des Access Gateways mit einer Serverfarm erl utert Sie k nnen das Access Gateway wahlweise in einer Single oder Double Hop DMZ Konfiguration bereitstellen Bereitstellen weiterer Access Gateway Ger te f r Lastausgleich und Failover Bereitstellen des Access Gateways mit Access Gateway Advanced Edition Bereitstellen des Access Gateways In diesem Abschnitt werden die folgenden Access Gateway Bereitstellungen erl utert Bereitstellen des Access Gateways in der demilitarisierten Zone DMZ des Netzwerks Bereitstellen des Access Gateways in einem sicheren Netzwerk das keine DMZ besitzt Bereitstellen weiterer Access Gateway Ger te f r Lastausgleich und Fail
118. Lisa Marth und ziehen Sie ihren Namen auf Local Group Users unter der Benutzergruppe Au endiensttechniker 4 Klicken Sie unter Local Users auf den Namen Silvio Branco und ziehen Sie seinen Namen auf Local Group Users unter der Benutzergruppe Au endiensttechniker Nach Ausf hrung dieses Arbeitsschritts treffen die beiden folgenden Aussagen zu Silvio Branco und Lisa Marth k nnen die Benutzeranmeldeinformationen Gast Silvio Branco oder Gast Lisa Marth zur Authentifizierung beim Bereich Gast auf dem Access Gateway eingeben e Silvio Branco und Lisa Marth d rfen auf alle in der Zugriffssteuerungsliste der Benutzergruppe Au endiensttechniker definierten Ressourcen zugreifen da Local authorization als Autorisierungstyp f r den Bereich Gast angegeben ist Hierdurch erhalten lokale Benutzer dieselbe Autorisierung wie die Benutzergruppe auf dem Access Gateway der sie zugewiesen sind Ihnen wird nicht die mit der Benutzergruppe Default auf dem Access Gateway verkn pfte Autorisierung erteilt wie es der Fall ist wenn No authorization f r den Authentifizierungsbereich Gast aktiviert ist Problembehandlung beim Access Gateway Im Folgenden wird erl utert was Sie bei Problemen tun k nnen die beim Einrichten und Verwenden des Access Gateways auftreten Problembehandlung bei Webinterface Verbindungen In diesem Abschnitt werden Probleme erl utert die beim Herstellen einer Verbindung zum Webinterf
119. MZ auf Seite 230 7 Optional Aktivieren Sie die Option Use a secure connection wenn die Verbindung vom Access Gateway zum Webinterface mit SSL verschl sselt werden soll Klicken Sie auf OK Hinweis Wenn Sie die Option Use a secure connection aktivieren m ssen Sie die entsprechenden SSL Zertifikate installieren Weitere Informationen finden Sie unter Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung auf Seite 246 8 Wiederholen Sie diese Schritte f r jedes Access Gateway das in der ersten DMZ installiert ist Schritt 4 Installieren eines Access Gateways in der zweiten DMZ Das Access Gateway Ger t in der zweiten DMZ wird als Access Gateway Proxy bezeichnet da es als Proxy f r den ICA und Secure Ticket Authority Daten verkehr durch die zweite DMZ fungiert Folgen Sie den Anweisungen unter Erstmalige Installation des Access Gate ways auf Seite 39 um die einzelnen Access Gateway Ger te in der zweiten DMZ zu installieren Beim Installieren eines Access Gateways in der ersten DMZ konfigurieren Sie dieses zur Verwendung von Interface 0 und Interface 1 Verbinden Sie Interface 0 mit der ersten DMZ und Interface 1 mit dem internen Netzwerk das die Server farm enth lt Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 239 Bei der Installation weiterer Ger te in der zweiten DMZ k nnen Sie genauso vor gehen N here Informationen zum Verwenden mehre
120. P 3 Geben Sie unter Location den SNMP Speicherort ein Dieses Feld dient nur zur Information Anhang A Uberwachen des Access Gateways 287 4 Geben Sie unter Contact den Kontakt ein Dieses Feld dient nur zur Information 5 Geben Sie unter Community die Community ein Dieses Feld dient nur zur Information 6 Geben Sie unter Port die Portnummer an Klicken Sie auf Submit Beispiel f r eine MRTG Ausgabe Multi Router Traffic Grapher MRTG ist ein Tool zur berwachung von SNMP Daten Verkehrslast usw MRTG generiert HTML Seiten mit PNG Bildern zur visuellen Darstellung des Verkehrs Das Tool funktioniert unter UNIX Windows 2000 Server und Windows Server 2003 Hinweis Die Informationen in diesem Abschnitt geben einen allgemeinen berblick ber das Arbeiten mit MRTG Weitere Informationen zur Beschaffung und Verwendung dieses Tools finden Sie auf der Website von Multi Router Traffic Grapher unter http people ee ethz ch oetiker webtools mrtg So erfassen Sie SNMP Daten f r das Access Gateway ber MRTG in UNIX 1 Konfigurieren Sie das Access Gateway f r das Antworten auf SNMP Abfragen Informationen hierzu finden Sie unter So aktivieren Sie die Protokollierung von SNMP Meldungen auf Seite 286 2 Erstellen Sie die MRTG Konfigurationsdateien in etc mrtg Die Konfigurationsdateien enthalten Angaben dazu welche Objekt IDs vom MRTG Daemon berwacht werden sollen von welchem Ziel die SNMP Daten b
121. Page Type die Option Customized Logon Page aus 3 Wenn Sie eine angepasste Portalseite installieren f hren Sie die entsprechenden unten beschriebenen Tasks aus e Um ein Bild hochzuladen klicken Sie unter Primary Logo Image auf Upload new primary image w hlen Sie die Bilddatei aus und klicken Sie dann auf ffnen Um eine weitere Bilddatei hochzuladen klicken Sie unter Secondary Logo Image auf Upload new secondary image Wenn Sie ein Stylesheet verwenden k nnen Sie unter Stylesheet entweder das aktuelle Stylesheet herunterladen oder ein neues Stylesheet hochladen Um eine Fu zeile zu erstellen geben Sie im Bereich HTML footer den Text ein und klicken Sie dann im oberen Bereich der Seite auf Apply Kapitel 9 Konfigurieren der Anmelde und Portalseiten f r den Secure Access Client 185 Wahlen Sie nach der Installation der angepassten Portalseite die Portalseite fiir die Benutzer aus Weitere Informationen finden Sie an folgenden Stellen Informationen zur Verwendung der Portalseite die Teil des Ger ts ist finden Sie unter Access Gateway Portalseitenvorlagen auf Seite 185 Informationen wie Sie Benutzern die Wahl berlassen ob sie sich mit dem Secure Access Client dem Webinterface oder dem Kioskmodus falls aktiviert anmelden finden Sie unter Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen auf Seite 190 Informationen dar ber ob Benutzer mehr als einen Authentifizierung
122. Presentation Server 194 Secure Access Client 139 195 Bereiche Entfernen 83 Erstellen 82 Bereichsbasierte Authentifizierung Default Bereich 80 Bereitstellung Access Gateway Advanced Edition 37 Citrix Presentation Server 28 Cluster 273 Double Hop DMZ 20 33 228 Einzelne DMZ 24 Failover 35 280 Load Balancer 35 275 Mehrere Access Gateway Ger te 271 Sicheres Netzwerk 26 berlegungen zur Sicherheit 27 Unterst tzung bei der Authentifizierung 28 Webinterface 28 30 Bereitstellungsoptionen 23 Beschriftung von Kennwortfeldern 111 156 Betriebsmodi 18 BlackICE PC Protection 268 Index 343 C CIFS SMB 165 Citrix Preferred Support Services 15 Citrix Presentation Server 18 120 Bereitstellung 28 Double Hop DMZ Bereitstellung 20 223 ICA Zugriffssteuerung 214 Konfigurieren des Netzwerkzugriffs 214 Konfigurieren von Benutzerverbindungen 194 Serverfarm 193 Split Tunneling 117 Citrix Presentation Server Clients 18 195 Gleichzeitige Verbindung mit Secure Access Client 195 Citrix Schulungen 16 Citrix Solutions Advisors 15 Clients Kioskmodus 19 Stammzertifikate 179 Clientvariablen f r Portalseite 186 Clientverbindungsprotokolle 285 Clientzertifikate 120 176 Access Gateway Advanced Edition 178 Kriterien festlegen 177 Clientzugriff IP Pooling 120 Portalseite 190 Ressourcenzugriffssteuerung 128 Sitzungstimeout 119 Split DNS 120 Zertifikate 120 Cluster Erstellen 273 RSA SecurID 103 Clusterbereitstellung 273 C
123. RSA SecurID PIN und des Passcode vor ndern der Beschriftung von Kennwortfeldern Die Beschriftung der Kennwortfelder kann an den Authentifizierungstyp ange passt werden mit dem sich Benutzer anmelden damit sie genau wissen welches Kennwort sie eingeben m ssen Dies ist besonders dann n tig wenn das Access Gateway f r die Unterst tzung von Authentifizierungstypen von Drittanbietern konfiguriert ist Wenn Benutzer sich z B mit LDAP und dem starken Authentifi zierungssystem Gemalto protiva RADIUS authentifizieren m ssen k nnen Sie die Kennwortfelder mit diesen Typen beschriften damit die Benutzer wissen was sie eingeben m ssen Statt mit Kennwort und Sekund res Kennwort k nnten die Felder z B mit Windows Dom nenkennwort und Gemalto protiva Passcode beschriftet werden Die Beschriftungen k nnen je nach Verwendung einzelner Authentifizierungsmethoden oder Zweimethodenauthentifizierung ge ndert werden So ndern Sie die Beschriftungen der Kennwortfelder 1 Klicken Sie auf die Registerkarte Authentication und unter Add an Authentication Realm auf Advanced 2 Geben Sie in den Feldern Password label und Secondary password label die Beschriftungen f r die Felder ein 3 Klicken Sie auf OK Wenn sich Benutzer anschlie end anmelden sehen sie die neuen Feldbeschriftungen 112 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Netzwerkzugriff und Gruppenressourcen Benutzer g
124. Remotebenutzer nahtlosen und sicheren Zugriff auf autorisierte Anwendungen und Netzwerkressourcen Remotebenutzer k nnen mit Dateien auf Netzlaufwerken E Mail Intranetsites und Anwendungen so arbeiten als bef nden sie sich weiterhin innerhalb der Firewall der Organisation Die folgenden Themen bieten einen berblick ber das Access Gateway Access Gateway Technologien Access Gateway Betriebsmodi Neue Funktionen 18 Citrix Access Gateway Standard Edition Administratorhandbuch Access Gateway Technologien Das Access Gateway lasst sich schnell und einfach bereitstellen und verwalten Es wird dabei in den meisten Fallen hinter der Firewall oder in der DMZ platziert Es werden aber auch komplexere Bereitstellungen unterst tzt z B bei Verwendung eines Server Load Balancers oder einer Double Hop DMZ Wenn das Access Gateway zum ersten Mal gestartet wird m ssen Sie mit dem Access Gateway Administration Tool die f r Ihr Unternehmensnetzwerk geltenden Grundeinstellungen konfigurieren Dazu geh ren die IP Adresse die Subnetzmaske die IP Adresse des Standardgateways und die DNS Adresse Sobald die Grundeinstellungen konfiguriert wurden und eine Verbindung mit dem Netzwerk hergestellt wurde k nnen Sie die Einstellungen konfigurieren die f r den Einsatz dieses konkreten Access Gateway Ger ts gelten sollen Dazu geh ren die Optionen f r die Authentifizierung die Autorisierung und die gruppenbasierte Zugriffssteuerung de
125. Secure Access Client wird von folgenden Windows Betriebssystemen unterst tzt Windows XP Home Edition Windows XP Professional Windows 2000 Server Windows Server 2003 Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 141 Der Secure Access Client wird von folgenden Linux Betriebssystemen unterst tzt Red Hat Enterprise Linux 4 SUSE Linux 10 0 Fedora Core 4 Webbrowser Der Secure Access Client wird von folgenden Webbrowsern unterst tzt Microsoft Internet Explorer Versionen 6 x und 7 x Mozilla Firefox Version 1 5 Apple Safari Versionen 1 2 und 2 Wenn Clients die Verbindung ber Mozilla Firefox herstellen k nnen Seiten f r die ActiveX erforderlich ist z B die Seite mit der berpr fung vor der eigent lichen Authentifizierung nicht ausgef hrt werden Wenn Clients die Verbindung ber den Kiosk herstellen muss Sun Java Runtime Environment JRE Version 1 5 0 _06 auf dem Computer installiert sein Funktionsweise von Benutzerverbindungen Das Access Gateway funktioniert folgenderma en Wenn ein Benutzer zum ersten Mal eine Verbindung ber eine Webadresse herstellt wird der Secure Access Client heruntergeladen und auf dem Clientcomputer installiert Nach dem Herunterladen des Secure Access Clients meldet sich der Benutzer an Wenn die Authentifizierung des Benutzers erfolgreich war richtet das Access Gateway einen sicheren Tunnel ein Sobald der Remotebenu
126. Secure Gateway identisch ist Falls die Anmeldeseite des Access Gateways so konfiguriert ist dass sie genauso aussieht wie die von Secure Gateway bemerken Benutzer eventuell nicht dass sie sich ber dieses Ger t anmelden Auch wenn die In Place Migration den geringsten Aufwand an Support erfordert es ist nicht erforderlich Benutzer ber eine neue Webadresse zu informieren hat es direkte Auswirkungen auf alle Benutzer wenn bei der Konfiguration des Access Gateways Fehler gemacht wurden die trotz einer ausf hrlichen Testphase nicht erkannt wurden Durchf hren einer Parallel Migration Als beste Vorgehensweise empfiehlt Citrix dass Secure Gateway solange parallel mit dem Access Gateway ausgef hrt wird bis alle Benutzer ordnungsgem auf das Ger t migriert worden sind F r eine Parallel Migration ist folgendes erfor derlich Ein neuer vollqualifizierter Dom nenname und ein neues Zertifikat f r das Access Gateway Weitere Informationen zum Erwerb eines Zertifikats finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 Geben Sie den Benutzern die neue f r den Zugriff auf Unternehmens ressourcen erforderliche Webadresse sowie das Datum an dem mit der Verwendung des Access Gateways begonnen wird Durch eine Parallel Migration haben Sie mehr Kontrolle ber die Konfiguration und k nnen im Gegensatz zur gleichzeitigen bertragung s mtlicher Benutzer bei einer In Place Migration stufenweise vorg
127. Server Computer zugreifen d rfen Das Access Gateway in der ersten DMZ schlie t die Adresse des Computers auf dem Citrix Presentation Server ausgef hrt wird in das Clientverbindungspaket ein und leitet dieses Paket an den Access Gateway Proxy in der zweiten DMZ weiter Der Access Gateway Proxy in der zweiten DMZ erstellt eine Verbindungs anforderung an den im Verbindungspaket angegebenen Computer auf dem Citrix Presentation Server ausgef hrt wird Dieser Computer sendet eine Antwort an den Access Gateway Proxy in der zweiten DMZ Der Access Gateway Proxy in der zweiten DMZ leitet diese Antwort an das Access Gateway in der ersten DMZ weiter um die Verbindung zwischen dem Computer auf dem Citrix Presentation Server ausgef hrt wird und dem Access Gateway in der ersten DMZ herzustellen Das Access Gateway in der ersten DMZ schlie t den SSL TLS Handshake mit dem Presentation Server Client durch Weiterleitung des endg ltigen Verbindungspakets an den Client ab Dadurch ist die Verbindung vom Presentation Server Client zu Citrix Presentation Server hergestellt Jetzt k nnen Daten zwischen dem Presentation Server Client und dem Computer auf dem Citrix Presentation Server ausgef hrt wird ber das Access Gateway in der ersten DMZ und den Access Gateway Proxy in der zweiten DMZ bertragen werden 254 Citrix Access Gateway Standard Edition Administratorhandbuch Warten des Access Gateways In diesem Kapitel werden die Wartu
128. So erstellen Sie eine Dateifreigaberessource 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf File Share Resources klicken Sie dann auf New File Share Resource geben Sie einen Namen ein und klicken Sie auf OK 3 Geben Sie unter Share source den Pfad zur Freigabequelle wie folgt ein Server Freigabe 4 Wahlen Sie unter Mount type das Dateifreigabe Netzwerkprotokoll aus Sie k nnen dabei zwischen CIFS SMB und NFS w hlen Hinweis CIFS SMB Common Internet File System Server Message Block ist das Netzwerkprotokoll das in Microsoft Windows fiir die Dateifreigabe verwendet wird NFS Network File System erlaubt es Thnen eine Diskpartition auf einem Remotecomputer so bereitzustellen zu mounten als ob sie sich auf der Festplatte des lokalen Computers befindet NFS wird typischerweise auf Linux Computern verwendet S Wenn zum Bereitstellen eines CIFS SMB Laufwerks Administratorberech tigungen erforderlich sind geben Sie unter User name den Benutzernamen und unter Password ein Kennwort ein Bei Wahl von NFS sind diese Felder nicht aktiv Alle Benutzer die auf die Freigabe zugreifen besitzen dieselben Rechte wie dieser Benutzer 6 Geben Sie unter Domain die Active Directory Dom ne der Freigabe ein Bei Wahl von NFS ist dieses Feld nicht aktiv 166 Citrix Access Gateway Standard Edition Administratorhandbuch 7 Legen Sie unter Permissions
129. Standardbereich Default und erstellen einen neuen Standardbereich der LDAP Authentifizierung und Autorisierung unterst tzt 1 Klicken Sie im Access Gateway Administration Tool auf die Registerkarte Authentication 2 ffnen Sie das Fenster f r den Bereich Default 3 Wahlen Sie im Men Action den Befehl Remove Default realm Es wird eine Warnmeldung angezeigt Klicken Sie auf Ja Geben Sie im Feld Realm name den Namen Default ein W hlen Sie One Source und klicken Sie auf Add SO Er Aktivieren Sie im Dialogfeld Select Authentication Type die Option LDAP authentication und klicken Sie dann auf OK Dann wird das Fenster f r den neuen Standardbereich ge ffnet 8 F llen Sie im Fenster f r den neuen Standardbereich auf der Registerkarte Authentication die erforderlichen Felder aus um dem Access Gateway Zugriff auf den LDAP Server zu erm glichen Verwenden Sie hierf r die im vorigen Arbeitsschritt Sammeln der LDAP Verzeichnisinformationen gesammelten Informationen 9 Klicken Sie auf die Registerkarte Authorization 10 W hlen Sie unter Authorization type die Option LDAP authorization 11 F llen Sie auf der Registerkarte Authorization die erforderlichen Felder aus um dem Access Gateway Zugriff auf den LDAP Server zu erm glichen 12 Klicken Sie auf Submit Weitere Informationen zum Erstellen von Bereichen finden Sie unter Arbeiten mit Bereichen auf Seite 61 Erstellen der entsprechen
130. WINS Eintrage Wenn die Verbindung zum Secure Access Client getrennt wird werden WINS Eintr ge nicht von dem Computer entfernt auf dem der Client ausgef hrt wird Benutzer von Einw hlverbindungen erhalten keine WINS Serverzuordnungen Legen Sie zur Behebung dieses Problems die interne WINS Adresse manuell fest oder verwenden Sie einen DNS Server von Microsoft zum Festlegen der Dom ne f r die WINS Suche Verwendung von Drittanbieter Clientsoftware Wenn auf dem Computer eines Benutzers der Secure Access Client ausgef hrt wird auf diesem Computer aber auch VPN Software eines Drittanbieters instal liert ist und die Verbindungen nicht korrekt ber das Access Gateway ausgef hrt werden vergewissern Sie sich dass die Drittanbieteranwendung deaktiviert oder ausgeschaltet ist Testen Sie anschlie end die Secure Access Client Verbindung erneut 340 Citrix Access Gateway Standard Edition Administratorhandbuch Index A Access Gateway Aktualisieren 261 Betriebsmodi 18 Herunterfahren 266 In einer Double Hop DMZ installieren 235 Mehrere Ger te lizenzieren 52 Migrieren von Secure Gateway 201 Neustart 48 265 Statistiken 288 berwachen 288 Verbindungen 18 Wartung 255 Access Gateway Advanced Edition 19 37 Clientzertifikate 178 Inaktiver Server 38 ACL siehe Zugriffssteuerungsliste Active Directory Anmeldeskripte 22 ActiveX Steuerelement Portalseite 188 Secure Access Client 152 Administration Desktop Ethereal Network
131. Webinter face und der Secure Ticket Authority STA zusammen um die Authentifizie rung Autorisierung sowie Umleitung auf ver ffentlichte Ressourcen auf einem Computer bereitzustellen auf dem Citrix Presentation Server ausgef hrt wird Access Gateway kann mit den Webinterface Versionen 3 0 4 0 4 2 und 4 5 verwendet werden In diesem Kapitel werden folgende Themen behandelt Benutzerverbindungen zu einer Serverfarm Ersetzen von Secure Gateway Konfigurieren des Webinterface Konfigurieren des Webinterface f r die Authentifizierung Konfigurieren der Secure Ticket Authority Konfigurieren der ICA Zugriffssteuerung Verwenden des Webinterface als Anmeldeseite Konfigurieren von Single Sign On beim Webinterface Aktivieren der Sitzungszuverl ssigkeit 194 Citrix Access Gateway Standard Edition Administratorhandbuch Benutzerverbindungen zu einer Serverfarm Benutzer k nnen sich ber Citrix Presentation Server Clients mit dem Unterneh mensnetzwerk verbinden um Zugriff auf ver ffentlichte Anwendungen in der Serverfarm zu erhalten Clientverbindungen funktionieren wie in einer Secure Gateway Bereitstellung Der einzige Unterschied ist dass Secure Gateway aus der DMZ entfernt und durch das Access Gateway ersetzt wird Weitere Informa tionen zum Ersetzen von Secure Gateway finden Sie unter Ersetzen von Secure Gateway auf Seite 197 Citrix Presentation Server Clients k nnen von verschiedenen Ger
132. Weiterleiten von Systemmeldungen an einen Systemprotokollserver 286 Aktivieren und Anzeigen von SNMP Protokollen 2 2202 286 Beispiel f r eine MRTG Ausgabe 0 ccc eee eee 287 Anzeigen von Systemstatistiken 0 eee eee ences 288 berwachen der Access Gateway Operationen 0 00c0 cee ee eee 288 Sichern von Verbindungen mit digitalen Zertifikaten Einf hrung in Sicherheitsprotokolle Kryptografie und digitale Zertifikate 291 Einf hrung in Sicherheitsprotokolle 2 0 2 0 0 cee eee eee eee 291 Einf hrung in die Kryptografie 2 0 cece eee eee 292 Digitale Zertifikate und Zertifizierungsstellen 22 22222020 295 Beantragen von Zertifikaten 0 2 0 eect tenet nee 299 Ihr Unternehmen hat eine eigene Zertifizierungsstelle 299 Ihr Unternehmen hat keine eigene Zertifizierungsstelle 299 Beantragen von Serverzertifikaten 2 2 2 2 20222 eeeeeeeeennee nen 300 Digitale Zertifikate und deren Verwendung im Access Gateway 300 11 Citrix Access Gateway Standard Edition Administratorhandbuch Verwenden von Windows Zertifikaten 0 cece cece eee 301 Entschl sseln des privaten Schl ssels 2 22222ccsseeeeeee 302 Umwandeln in ein PEM formatiertes Zertifikat 22222cs222 0 302 Kombinieren des privaten Schl ssels mit dem signierten Zertifikat 304 Generieren vertrauensw rdige
133. Windows Firewall von Windows XP Service Pack 2 werden vom Secure Access Client automatisch angepasst Weitere Informationen zum Konfigurieren verschiedener g ngiger Firewalls finden Sie unter Konfigurieren pers nlicher Firewalls von Drittanbietern auf Seite 267 Benutzer die die Access Gateway Verbindung f r FTP verwenden m chten m ssen ihre FTP Anwendung so einrichten dass sie passive bertragungen unterst tzt Eine passive bertragung bedeutet dass der Remotecomputer die Datenverbindung zu Ihrem FTP Server und nicht Ihr FTP Server die Datenverbindung zum Remotecomputer einrichtet Benutzer die die Verbindung f r die Ausf hrung von X Client Anwendungen verwenden m chten m ssen auf ihren Computern einen X Server ausf hren z B XManager Da die Benutzer mit den Dateien und Anwendungen arbeiten als w rden sie sich lokal im Netzwerk der Organisation befinden ist keine Schulung der Benutzer und keine Konfiguration der Anwendungen n tig F r die in diesem Abschnitt besprochenen Informationen gibt es auf der Seite Downloads des Administration Portals eine entsprechende E Mail Vorlage Citrix empfiehlt den Text f r Ihre Site anzupassen und die E Mail dann an die Benutzer zu senden 148 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Proxyservern fur den Secure Access Client Wenn der Secure Access Client eine Verbindung herstellt fragt der Secure Access Client zunachst die
134. Zugriff u U auf ein bestimmtes Segment eines gr eren Netzwerks eingeschr nkt werden Beispiel Ein Administrator muss den Zugriff auf das Netzwerk 10 0 20 x verweigern doch den Zugriff auf alles andere im Netzwerk 10 0 x x zulassen Der Administrator erstellt eine Netzwerkressource f r das Netzwerk 10 0 20 x und eine Netzwerkressource f r das Netzwerk 10 0 x x und weist der Benutzergruppe beide Netzwerkressourcen zu Dann klickt der Administrator jeweils mit der rechten Maustaste auf die beiden Ressourcen um den Zugriff auf die Ressource im Netzwerk 10 0 20 x zu verweigern und den Zugriff auf die Ressource im Netzwerk 10 0 x x zuzulassen In solchen F llen konfigurieren Sie zuerst die Richtlinie wonach der Zugriff auf 10 0 20 x verweigert wird und dann die Richtlinie wonach der Zugriff auf das Netzwerk 10 0 x x zugelassen wird Konfigurieren Sie die Richtlinie mit den gr ten Einschr nkungen stets zuerst und die Richtlinie mit den geringsten Einschr nkungen zuletzt Erstellen einer Anwendungsrichtlinie f r einen E Mail Server Das Erstellen einer Anwendungsrichtlinie f r einen E Mail Server ist der letzte von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigura tionsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren In diesem Beispiel sind im Netzwerk 10 10 0 0 24 drei E Mail Server installiert wobei der Administrator den Remo
135. ace auftreten k nnen Das Webinterface wird angezeigt ohne dass Anmeldeinformationen eingegeben wurden Wenn Sie die Webadresse f r das Access Gateway eingegeben haben wird das Webinterface angezeigt ohne dass der Benutzername und das Kennwort eingege ben werden mussten Die Ursache f r dieses Verhalten besteht darin dass Sie die Portalseitenauthentifizierung deaktiviert haben Aktivieren Sie im Administration Tool auf der Registerkarte Global Cluster Policies unter Advanced options die Option Enable logon page authentication Wenn diese Option deaktiviert ist wird nicht authentifizierter Netzwerkverkehr an das Webinterface gesendet Dies ist zwar eine g ltige Konfiguration Sie m ssen aber sicherstellen dass sich das Webinterface in der DMZ befindet Nach dem Anmelden werden keine Anwendungen angezeigt Benutzer die sich am Access Gateway anmelden bekommen ihre Anwendungen nicht angezeigt Das Message Center gibt an dass keine Dom ne festgelegt wurde Standardm ig bergibt das Access Gateway nur den Benutzernamen und das Kennwort an das Webinterface Um dieses Problem zu beheben konfigurieren Sie in der Access Management Console eine Standarddom ne oder eine Dom nenliste an denen sich der Benutzer anmelden kann Das Webinterface verwendet die in der Liste an erster Stelle stehende Dom ne als Standarddom ne 332 Citrix Access Gateway Standard Edition Administratorhandbuch Benutzer die sich am Access Gat
136. ad Netzwerktool das einen Dienstscanner einen Portscanner ein Dienstprogramm zum Pingen einen Pingscan einen Namensscan eine whois Abfrage und eine Fingerabfrage beinhaltet Sie finden diese Tools im Men Tools Traceroute Kombiniert die Funktionalit t der Befehle traceroute und ping in einem Netzwerkdiagnosetool Wenn Traceroute gestartet wird untersucht das Tool die Netzwerkverbindung zwischen dem Access Gateway und dem von Ihnen festgelegten Zielhost Nachdem das Tool die Adresse der einzelnen Netzwerkhops zwischen den Ger ten bestimmt hat sendet es eine ICMP ECHO Sequenzanforderung an alle um die Qualit t der einzelnen Verbindungen zu den Ger ten festzustellen Dabei druckt es fortlaufende Statistiken zu den einzelnen Ger ten 290 Citrix Access Gateway Standard Edition Administratorhandbuch e fnetload Stellt Netzwerkschnittstellenstatistiken in Echtzeit bereit Das Tool berpr ft proc net dev einmal pro Sekunde und stellt die ermittelten Werte grafisch dar Gnome System Monitor Zeigt Informationen zur CPU Nutzung und zur Nutzung des Arbeitsspeichers und des Auslagerungsbereichs an Weitere Informationen finden Sie in der Hilfe im System Monitor Fenster Wenn Sie Netzwerk berwachungstools wie Netstat TCPView oder NetMon auf dem Client verwenden treten unter Umst nden eingehende TCP Verbindungen vom Access Gateway auf willk rlichen hohen Ports auf Diese Verbindungen finden nicht wirklich statt Sie werden vo
137. agungen 334 IEEE 802 11 Unterst tzung 39 IETF siehe Internet Engineering Taskforce Inaktiver Server Access Gateway Advanced Edition 38 Initialisieren des Access Gateways 266 Installation 45 Access Gateway 39 Administration Tool 45 256 Administration Tool in Double Hop DMZ 232 Einzelne DMZ 25 Ger t in einer Double Hop DMZ 235 Hardware 41 Kreuzkabel 45 Lizenzen 51 Mehrere Stammzertifikate 61 Netzwerkkabel 45 Portalseiten 188 Secure Access Client 153 Secure Access Client fiir Linux 74 Stammzertifikate 60 Zertifikate 55 58 Zertifikate Administration Portal 59 Zubeh r 39 40 Instant Messenging AOL Instant Messenger 164 Gaim 158 164 ICQ 164 IRC 164 MSN Messenger 164 Yahoo Messenger 164 Index 345 Internes Failover 170 Administration Tool 335 Internet Engineering Taskforce 292 Internetauthentifizierungsserver RADIUS 96 Internet Sicherheitsprotokolle 291 IP Pooling 120 168 ISO X 509 Protokoll 295 K Kennw rter Administrator 43 258 Benutzer 85 Private Schl ssel f r Zertifikate 57 Kennwortfelder 156 Kioskmodus 19 120 157 Aktivieren und Deaktivieren 159 Anmelden 190 Anwendungen 158 Clients 158 Dateien ber FTP kopieren 166 Deaktivieren und Aktivieren 21 Firefox 158 160 Freigegebene Netzlaufwerke 158 Freigegebene Netzlaufwerke verwenden 166 Gaim 164 Instant Messenging 164 Java Runtime Environment 334 Link zu Website 189 Persistenz 160 Remotedesktop 162 SSH Client 163 Telnet 3270 Emulator Client 1
138. ahlen Sie im linken Bereich Authentifizierung 3 Wahlen Sie Explizite Anmeldung Nur diese Option darf ausgew hlt sein 220 Citrix Access Gateway Standard Edition Administratorhandbuch Legen Sie die Standarddom ne fest die f r die bergabe der Anmelde informationen an das Webinterface verwendet werden soll Verwenden Sie dazu eine der folgenden Methoden Definieren Sie die anzuzeigenden Dom nen Es wird die Dom ne verwendet die in der Liste an erster Stelle steht Definieren Sie nur eine Dom ne und w hlen Sie Dom nenfeld nicht im Anmeldeformular anzeigen Klicken Sie auf Speichern und dann auf nderungen bernehmen So konfigurieren Sie das Webinterface f r Citrix Presentation Server 4 0 f r Single Sign On 1 Klicken Sie in der Access Suite Console auf die Webinterface Site 2 Klicken Sie unter H ufige Tasks auf Authentifizierungsmethoden konfigurieren 3 Wahlen Sie Explizit Stellen Sie sicher dass nur diese Option ausgew hlt ist Vergewissern Sie sich dass die Option Zweifaktorauthentifizierung erzwingen deaktiviert ist und klicken Sie dann auf Weiter 4 Aktivieren Sie unter Authentifizierungstyp die Option Windows oder UNIX NIS und klicken Sie auf Weiter 5 Klicken Sie auf Hinzuf gen und f gen Sie der Liste eine Dom ne hinzu Sind mehrere Dom nen aufgef hrt verwendet das Access Gateway die Dom ne die in der Liste an erster Stelle steht 6 W hlen Sie Dom nenfeld bei Anmeldung
139. ammern erforderlich ist Zum Beispiel bedeutet ja nein dass Sie ja oder nein eingeben m ssen Die geschweiften Klammern selbst m ssen nicht eingegeben werden eckige Optionale Elemente in Befehlsanweisungen Zum Beispiel bedeutet Klammern ping dass Sie ping zusammen mit dem Befehl eingeben k nnen Geben Sie die eckigen Klammern selbst nicht mit ein vertikaler Strich Ein Trennzeichen zwischen Elementen in geschweiften oder eckigen Klammern in Befehlsanweisungen Beispiel hold release delete bedeutet dass Sie hold oder release oder delete eingeben Auslassung Sie k nnen das vorherige Element bzw die vorherigen Elemente in Befehlsanweisungen wiederholen Zum Beispiel bedeutet route Gerdtename dass Sie zus tzliche Gerdtenamen eingeben k nnen die durch Kommas getrennt werden Kapitel 1 Einf hrung 15 Service und technischer Support Citrix bietet technischen Support haupts chlich durch Citrix Solution Advisors an Unsere Citrix Solution Advisor Partner verf gen ber entsprechendes Training und bieten unseren Kunden ein hohes Niveau an Support Wenden Sie sich zuerst an Ihren Vertragsh ndler oder suchen Sie unter http support citrix com nach dem n chstgelegenen CSN Partner Zus tzlich zum CSN Programm bietet Citrix im Knowledge Center eine Reihe von webbasierten Selbstbedienungstools f r den technischen Support Das Knowledge Center finden Sie unter http support c
140. as Eigenschaften Dialogfeld der Gruppe angezeigt Es enth lt mehrere Registerkarten Zur Vereinfachung dieses Beispiels akzeptieren Sie alle Standardeinstellungen f r die Gruppeneigenschaften und klicken Sie auf OK Die Gruppeneigenschaften enthalten zus tzliche Einstellungen die sich auf den Benutzerzugriff auswirken Weitere Informationen zu Gruppeneigen schaften und zum Erstellen von lokalen Gruppen finden Sie unter Konfi gurieren von Benutzergruppen auf Seite 117 Erstellen und Zuweisen von Netzwerkressourcen f r die Benutzergruppen Das Erstellen und Zuweisen von Netzwerkressourcen f r die Benutzergruppen ist der vierte von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigurationsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren In diesem Schritt gibt der Administrator an auf welche Netzwerkressourcen Netzwerksegmente oder einzelne Computer Benutzer zugreifen d rfen und weist diese Ressourcen dann den Benutzergruppen auf dem Access Gateway zu 320 Access Gateway Standard Edition Administratorhandbuch Dabei fiihrt der Administrator folgende Schritte aus Erstellen einer Netzwerkressource namens Vertriebsressource und Zuweisen dieser Ressource zur Benutzergruppe Vertriebsau endienst Erstellen einer Netzwerkressource namens Technische Ressource und Zuweisen dieser Ressource zur Benutzergruppe
141. as interne Netzwerk in Ihrem Unternehmen dagegen mit zwei DMZs gesch tzt stellen Sie je ein Access Gateway in den beiden Netzwerk segmenten in einer Double Hop DMZ Konfiguration bereit Weitere Infor mationen zur Bereitstellung des Access Gateways in einer Double Hop DMZ finden Sie unter Bereitstellen des Access Gateways in einer Double Hop DMZ auf Seite 223 Bereitstellen des Gateways in der DMZ mit Citrix Presentation Server Die Bereitstellung des Access Gateways in der DMZ ist die am h ufigsten verwendete Konfiguration wenn das Access Gateway mit einer Serverfarm zusammenarbeitet In dieser Konfiguration bildet das Access Gateway einen zentralen Zugriffspunkt f r die Webbrowser und die Presentation Server Clients die ber das Webinter face auf die ver ffentlichten Ressourcen zugreifen Serverfarm Ver ffentlichte Anwendungen z en aa ake s ber den Citrix Internet T oe Presentation Server Access A ru XML Dienst Client verbundenes Gateway Webinterface Clientger t hinter dem Access Gateway e YE installiert Fr Secure Ticket Authority Access Gateway und Webinterface in der DMZ Auf den Computern im sicheren Netzwerk wird Citrix Presentation Server ausgef hrt Bei der Bereitstellung des Access Gateways in der DMZ stehen f r den Remote zugriff auf eine Serverfarm drei M glichkeiten zur Auswahl 30 Access Gateway Standard Edition Administratorhandbuch Bereitstellen des Webinte
142. aste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Session options eine oder beide der folgenden Optionen Authenticate after network interruption Bei Aktivierung dieser Option muss sich der Benutzer neu anmelden wenn die Netzwerkverbindung kurz unterbrochen war Authenticate upon system resume Bei Aktivierung dieser Option muss sich der Benutzer neu anmelden wenn sich sein Computer im Standby Modus oder Ruhezustand befunden hat Diese Option bietet ein h heres Ma an Sicherheit f r unbeaufsichtigte Computer 4 Klicken Sie auf OK Hinweis Wenn Sie eine Verbindung schlie en und einen Benutzer oder eine Gruppe daran hindern m chten automatisch wieder eine Verbindung herzu stellen m ssen Sie die Einstellung Authenticate after network interruption aktivieren Anderenfalls stellen die Benutzer unverz glich eine neue Verbindung her ohne dabei nach ihren Anmeldeinformationen gefragt zu werden 168 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren weiterer Gruppeneigenschaften Mit zus tzlichen Gruppenrichtlinien k nnen Sie den Zugriff der Benutzer auf das Netzwerk weiter konfigurieren Aktivieren von IP Pooling Aktivieren von Split DNS e Aktivieren von internem Failover e Aktivieren von Dom nenanmeldeskripten Aktivieren von Secure Access Client Sitzungstimeouts Konfigurieren von Websit
143. ateway sendet die Pakete dann an das Netzwerk Hinweis Der Secure Access Client unterh lt zwei Tunnel einen SSL Tunnel ber den Daten an das Access Gateway gesendet werden und einen Tunnel zwischen dem Client und den lokalen Anwendungen Die verschl sselten Daten die ber den SSL Tunnel ankommen werden dann entschl sselt bevor sie ber den zweiten Tunnel an die lokale Anwendung gesendet werden Wenn auf dem Computer auf dem der Secure Access Client ausgef hrt wird ein Paketsniffer in Betrieb ist z B Ethereal wird unverschl sselter Verkehr ange zeigt der scheinbar zwischen dem Client und dem Access Gateway ausgetauscht wird Dieser unverschl sselte Verkehr l uft jedoch nicht ber den Tunnel zwi schen dem Client und dem Access Gateway sondern ber den Tunnel zu den lokalen Anwendungen Wenn ein Anwendungsclient eine Verbindung mit seinem Anwendungsserver herstellt kann es vorkommen dass bestimmte Protokolle verlangen dass der Anwendungsserver im Gegenzug versucht eine neue Verbindung mit dem Client herzustellen In diesem Fall sendet der Client mittels eines individuellen Client Server Protokolls seine bekannte lokale IP Adresse an den Server F r diese Anwendungen stellt der Secure Access Client der lokalen Clientanwendung die Repr sentation einer privaten IP Adresse zur Verf gung die das Access Gateway im internen Netzwerk verwendet Dieses Feature wird von vielen Echtzeit Sprachanwendungen und von FTP v
144. ation des Secure Access Clients 270 Citrix Access Gateway Standard Edition Administratorhandbuch Nachdem Sie die oben genannten Konfigurations nderungen angewendet und den Secure Access Client gestartet haben zeigt die Tiny Personal Firewall eine Reihe von Warnmeldungen zu eingehenden Verbindungen an die sich auf den Secure Access Client beziehen Sie sollten f r jede Warnung die Verbindung zulassen ZoneAlarm Pro Damit der Secure Access Client eine Verbindung zum Internet und den vom Access Gateway zugelassenen Ressourcen herstellen kann m ssen Sie den vollqualifizierten Dom nennamen des Ger ts als vertrauensw rdige Zone hinzuf gen Installieren zusatzlicher Access Gateway Gerate Sie k nnen in Ihrem Netzwerk mehrere Access Gateway Ger te installieren Die zus tzlichen Ger te k nnen sich dabei in einem Cluster oder hinter einem Load Balancer befinden oder sie k nnen f r das Failover auf ein anderes Access Gateway im Netzwerk konfiguriert sein Wenn Access Gateway Ger te in einem Cluster angeordnet sind haben Sie alle dieselben Einstellungen f r den Benutzerzugriff auf die internen Netzwerk ressourcen Ein Benutzer kann eine Verbindung zu einem beliebigen Access Gateway im Cluster herstellen und erh lt dabei immer die gleichen Zugriffsrechte auf die Ressourcen im internen Netzwerk Mit der Installation mehrerer Access Gateway Ger te k nnen Sie Folgendes erreichen Skalierbarkeit berschreitet
145. atorhandbuch Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind Wenn auf dem Access Gateway eine Richtlinie zur Priifung vor der Authentifizie rung konfiguriert wurde und der Benutzer eine Webadresse eingibt um eine Verbindung herzustellen wird der Computer des Benutzers auf die Einhaltung der in der Richtlinie enthaltenen Kriterien gepr ft w hrend dem Benutzer eine Webseite ohne die M glichkeit der Eingabe von Anmeldeinformationen ange zeigt wird Falls der Clientcomputer die Richtlinien berpr fung vor der Authenti fizierung besteht werden die Benutzer mit der Anmeldeseite verbunden von wo aus sie sich mit ihren Anmeldeinformationen am Access Gateway anmelden k nnen Sollte die berpr fung des Computers ein negatives Ergebnis erbringen erh lt der Benutzer eine Fehlermeldung in der er aufgefordert wird sich mit dem Systemadministrator in Verbindung zu setzen Weitere Informationen hierzu finden Sie unter Konfigurieren von Richtlinien zur berpr fung vor der Authentifizierung auf Seite 137 Bereitstellen von Zugriff auf veroffentlichte Anwendungen Eine Serverfarm besteht aus mindestens einem Computer auf dem Citrix Presentation Server ausgef hrt wird Wenn Ihr Unternehmensnetzwerk eine Serverfarm enth lt k nnen Sie das Access Gateway implementieren und so sicheren Internetzugang auf ver ffentlichte Ressourcen bereitstellen Bei solchen Implementierungen arbeitet das Access Gateway mit dem
146. auf das Verbindungsprotokoll zugreifen Der Benutzer kann Ihnen diese Informationen f r die Fehlersuche bei Verbin dungsproblemen schicken So zeigen Sie das Verbindungsprotokoll an 1 Klicken Sie mit der rechten Maustaste im Infobereich der Taskleiste auf das Secure Access Client Symbol 2 W hlen Sie im Kontextmen den Befehl Verbindungsprotokoll Das Verbindungsprotokoll f r die Sitzung wird ge ffnet Hinweis Der Pfad zum Verbindungsprotokoll auf dem Computer des Benutzers lautet systemroot Dokumente und Einstellungen Benutzername Lokale Einstellungen Anwendungsdaten NET6 net6vpn log Das Protokoll wird bei jedem Einrichten einer neuen VPN Verbindung berschrieben Citrix empfiehlt die Benutzer aufzufordern das Verbindungsprotokoll im aus f hrlichen Modus zu erstellen da auf diese Weise detaillierte Informationen f r die Problembehandlung z B die Zertifikats berpr fung zur Verf gung stehen So legen Sie ausf hrlichen Modus f r das Clientverbindungsprotokoll fest 1 Klicken Sie mit der rechten Maustaste auf das Secure Access Client Symbol und klicken Sie dann auf Verbindungsprotokoll 2 Aktivieren Sie im Men Optionen die Option Ausf hrlicher Modus 286 Citrix Access Gateway Standard Edition Administratorhandbuch Weiterleiten von Systemmeldungen an einen Systemprotokollserver Das Access Gateway archiviert Systemmeldungen Informationen hierzu finden Sie unter Anzeigen und Herunterladen
147. auptrouters der Firewall oder des SLB Diese IP Adresse muss mit der Standardgatewayeinstellung auf den Computern im selben Subnetz bereinstimmen Informationen zum Zusammenhang zwischen dem Standardgateway und dem dynamischen oder statischen Routing finden Sie unter Konfigurieren weiterer Netzwerkeinstellungen auf Seite 62 Kapitel 4 Erstmalige Installation des Access Gateways 47 Nachdem Sie die Netzwerkeinstellungen auf dem Access Gateway konfiguriert haben m ssen Sie das Ger t neu starten Hinweis Ein Neustart des Access Gateways ist erst notwendig wenn Sie alle Konfigurationsschritte vollst ndig ausgef hrt haben Hierzu geh ren die Konfiguration des Netzwerkzugriffs f r das Ger t sowie das Installieren von Zertifikaten und Lizenzen Weitere Informationen ber die Konfiguration zus tzlicher Netzwerkeinstellungen finden Sie unter Konfigurieren des Access Gateways f r die Netzwerkumgebung auf Seite 49 Umleiten von Verbindungen auf Port 80 an einen sicheren Port Standardm ig l sst das Access Gateway keine unsicheren Verbindungen auf Port 80 zu Wenn ein Benutzer versucht mit HTTP auf Port 80 eine Verbindung zum Access Gateway herzustellen kommt die Verbindung nicht zustande Sie k nnen das Access Gateway so konfigurieren dass HTTP Verbindungs versuche auf Port 80 automatisch an sichere Verbindungen auf Port 443 oder einem anderen sicheren Port umgeleitet werden Wenn ein Benutzer versucht
148. ausblenden klicken Sie auf Weiter und klicken Sie dann auf Fertig stellen So konfigurieren Sie das Webinterface f r Citrix Presentation Server 4 5 l 2 Klicken Sie in der Access Management Console auf die Webinterface Site Klicken Sie mit der rechten Maustaste auf die Webinterface Site und klicken Sie dann auf Authentifizierungsmethoden konfigurieren W hlen Sie Explizit und klicken Sie dann auf Eigenschaften Klicken Sie unter Explizit auf Authentifizierungstyp und aktivieren Sie dann Windows oder NIS UNIX w hlen Sie Dom nenbenutzername und UPN und klicken Sie auf Einstellungen W hlen Sie Dom nenfeld anzeigen und w hlen Sie unter Dom nenliste die Option Bereits ausgef llt Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 221 Klicken Sie auf Hinzuf gen und geben Sie im Feld Anmeldedom ne den Namen der Dom ne ein Sind mehrere Dom nen aufgef hrt verwendet das Access Gateway die Dom ne die in der Liste an erster Stelle steht Klicken Sie dreimal auf OK Hinweis Nach Abschluss dieser Schritte k nnen nur ICA Verbindungen ber das Access Gateway gestartet werden Richten Sie f r interne Benutzer eine neue Site ein oder konfigurieren Sie Netzwerkregeln damit die Site sowohl interne als auch externe Benutzer verarbeiten kann Weitere Informationen hierzu finden Sie im Webinterface Administratorhandbuch Vergewissern Sie sich nach dem Konfigurieren des Webinterface dass S
149. authentifizierungsphase laufen die folgenden Schritte ab Ein Benutzer stellt ber einen Webbrowser eine Verbindung zum Access Gateway in der ersten DMZ her Wenn auf dem Access Gateway die Anmeldeseitenauthentifizierung aktiviert ist wird der Benutzer vom Access Gateway authentifiziert Das Access Gateway leitet die Webbrowser Verbindung an das Webinterface weiter Das Webinterface kommuniziert mit dem XML Dienst auf einem Server auf dem Citrix Presentation Server ausgefiihrt wird und erhalt vom XML Dienst eine Liste der Anwendungen auf die der Benutzer zugreifen darf Bei diesem Prozess wird der Benutzer vom XML Dienst authentifiziert Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 227 Erstellung von Sitzungstickets Die Erstellung von Sitzungstickets ist die zweite Phase beim Herstellen einer Clientverbindung in einer Double Hop DMZ Bereitstellung Wahrend dieser Phase laufen die folgenden Schritte ab Das Webinterface kommuniziert mit dem XML Dienst und der Secure Ticket Authority im internen Netzwerk um Sitzungstickets f r die einzelnen ver ffentlichten Anwendungen zu erstellen auf die der Benutzer zugreifen darf Das Sitzungsticket enth lt eine Aliasadresse f r den Computer auf dem Presentation Server ausgef hrt wird und der eine ver ffentlichte Anwendung hostet Das Webinterface erstellt eine ICA Datei f r jede ver ffentlichte Anwen dung Jede ICA Datei enth lt das Sitz
150. ay in der ersten DMZ her 224 Citrix Access Gateway Standard Edition Administratorhandbuch Dieser Vorgang wird gestartet indem der Benutzer tiber einen Webbrowser eine Verbindung zum Access Gateway herstellt und im Webinterface eine ver ffent lichte Anwendung ausw hlt Nach Auswahl einer ver ffentlichten Anwendung wird der Citrix Presentation Server Client automatisch auf dem Clientger t gestartet Der Presentation Server Client stellt eine Verbindung zum Access Gateway her um auf die ver ffentlichte Anwendung zuzugreifen die auf der Serverfarm im sicheren Netzwerk ausgef hrt wird Wichtig Der Secure Access Client wird in Double Hop DMZ Bereitstellungen nicht unterst tzt Sie k nnen mit dem Secure Access Client also nicht auf Netzwerkressourcen zugreifen wenn das Access Gateway in einer Double Hop DMZ Konfiguration bereitgestellt wurde Das Access Gateway in der ersten DMZ ist f r Clientverbindungen verantwort lich und bernimmt die Sicherheitsfunktionen eines SSL VPN Dieses Access Gateway verschl sselt die Clientverbindungen legt fest wie Clients authentifi ziert werden und steuert den Zugriff auf die Server auf denen Citrix Presentation Server im internen Netzwerk ausgef hrt wird Das Access Gateway in der zweiten DMZ ist ein Proxyger t Dieses Access Gateway stellt Presentation Server Client Verbindungen mit der Serverfarm her indem es ICA Daten bertragungen das Durchqueren der zweiten DMZ erm g licht
151. ber einen Web browser eine Verbindung zu Websites im sicheren Netzwerk herstellt werden Cookies gespeichert mit denen ermittelt wird ob die Websitzung des Benutzers auf dem Access Gateway noch aktiv ist Wenn das Access Gateway Cookie abl uft und die Authentifizierung ber die Anmeldeseite aktiviert ist wird der Benutzer aufgefordert die Authentifizierungsinformationen einzugeben damit er die Websitzung wieder aufnehmen kann Damit wird der Zeitraum beschr nkt in dem Netzwerkangriffe ber eine unbeaufsichtigte Websitzung erfolgen k nnten sodass ein gewisser Grad an Sicherheit entsteht So aktivieren Sie das Websitzungstimeout l Klicken Sie auf die Registerkarte Global Cluster Policies 2 Geben Sie unter Access options den Zeitraum in Minuten in das Feld Web session time out ein Soll das Websitzungstimeout deaktiviert werden geben Sie den Wert 0 in das Textfeld ein 3 Klicken Sie auf Submit Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 173 Deaktivieren von Desktopfreigaben Der Secure Access Client bietet eine Funktion f r die Desktopfreigabe Ein Benutzer kann im Infobereich von Windows mit der rechten Maustaste auf das Secure Access Client Symbol klicken und die Option Desktop freigeben w hlen Mit dieser Option wird eine Liste aller anderen Benutzer aufgerufen die ber einen Secure Access Client beim Access Gateway angemeldet sind In einigen Unternehmen kann diese Funktion z
152. bereich zur Unterst tzung der LDAP Authentifizierung und Autorisierung ein Zum Einrichten des Standardbereichs zur Unterst tzung der LDAP Authentifi zierung l scht der Administrator zuerst den vorhandenen Standardbereich Default und erstellt dann sofort einen neuen Standardbereich der LDAP Authentifizierung unterst tzt Dieser neue Bereich enth lt die Adresse den Port und andere LDAP Verzeichnisinformationen die das Access Gateway zum Herstellen einer Verbindung zum LDAP Verzeichnisserver und zum Suchen nach Namen im Verzeichnis ben tigt Hinweis Der auf dem Access Gateway vorhandene Standardbereich wird f r die lokale Authentifizierung konfiguriert Durch das L schen des vorhandenen Standardbereichs und das Erstellen eines neuen Standardbereichs f r LDAP erleichtert der Administrator den Anmeldevorgang f r den Endbenutzer Benut zer die sich ber den Standardbereich authentifizieren m ssen den Bereichs namen nicht als Bestandteil ihrer Anmeldeinformationen eingeben Weitere Informationen zu Bereichen Authentifizierung und Autorisierung finden Sie unter Sichern von Verbindungen mit Authentifizierung und Autorisierung auf Seite 57 Zur Ausf hrung dieses Arbeitsschritts muss der Administrator die im vorigen Arbeitsschritt Sammeln der LDAP Verzeichnisinformationen gesammelten Informationen griffbereit haben 318 Access Gateway Standard Edition Administratorhandbuch So l schen Sie den vorhandenen
153. ccess Gateway 2 Klicken Sie auf die Registerkarte Administration 3 Klicken Sie neben Upload an upgrade or saved configuration auf Browse Kapitel 12 Warten des Access Gateways 263 Suchen Sie die Upgradedatei die hochgeladen werden soll und klicken Sie auf Offnen Die Datei wird hochgeladen und Sie werden zum Neustart des Access Gateways aufgefordert Hinweis Sie k nnen die Access Gateway Software auch ber die Seite Maintenance im Administration Portal aktualisieren Wenn Sie das Access Gateway aktualisieren werden alle Ihre Konfigurationsein stellungen gespeichert Informationen zum Speichern und Wiederherstellen einer Konfiguration finden Sie unter Speichern und Wiederherstellen der Access Gateway Konfiguration auf Seite 264 Neuinstallieren der Access Gateway Software Wenn Sie die Access Gateway Serversoftware neu installieren m ssen verwen den Sie die mit dem Ger t gelieferte CD ROM So installieren Sie die Access Gateway Serversoftware neu 1 Speichern Sie die Access Gateway Konfigurationseinstellungen wie unter speichern und Wiederherstellen der Access Gateway Konfiguration auf Seite 264 beschrieben Stellen Sie sicher dass das Access Gateway mit einem Computer verbun den ist auf dem die Terminalemulationssoftware ausgef hrt werden kann Schalten Sie beide Systeme ein Legen Sie die Access Gateway Wiederherstellungs CD ROM in das CD Laufwerk des Access Gateways ein um das In
154. ccess Gateways 261 Aktualisieren der Access Gateway Software Die Software auf dem Access Gateway kann bei Ver ffentlichung neuer Releases ber ein Upgrade aktualisiert werden Ob neue Aktualisierungen zur Verf gung stehen erfahren Sie im Administration Portal Ein Upgrade auf ein neues Release ist nur dann m glich wenn Ihre Access Gateway Lizenzen zum Zeitpunkt der Ver ffentlichung der Aktualisierung am Subscription Advantage Programm teil nehmen Das Subscription Advantage Abonnement kann jederzeit erneuert werden Weitere Informationen finden Sie auf der Citrix Support Website unter http www citrix com So pr fen Sie ob neue Softwareaktualisierungen ver ffentlicht wurden 1 ffnen Sie das Administration Portal und klicken Sie auf Maintenance 2 Klicken Sie auf Check for Server Upgrade Die Citrix Support Website wird ge ffnet und Sie k nnen so vorhanden das Upgrade von der Website herunterladen Mit dieser Access Gateway Version k nnen gespeicherte Konfigurationen fr he rer Versionen des Ger ts gelesen werden Wenn eine gespeicherte Konfiguration einer fr heren Version mit Access Gateway Version 4 5 wiederhergestellt wird wird sie automatisch in das neue Format konvertiert Wenn Sie ein Upgrade von einer lteren Version des Access Gateways auf diese Version durchf hren ist es wichtig die aktuelle Konfiguration vorher zu speichern Wenn Sie eine fr here Version der Software wiederherstellen m ssen muss das
155. ce Administratorhandbuch 210 Citrix Access Gateway Standard Edition Administratorhandbuch So konfigurieren Sie das Webinterface fur MetaFrame Presentation Server 3 0 l 8 ffnen Sie einen Webbrowser und geben Sie die folgende Webadresse ein http Servername Citrix MetaFrame WIAdmin wobei Servername der Name des Servers ist auf dem das Webinterface ausgef hrt wird Klicken Sie im linken Bereich auf DMZ Einstellungen und dann auf Netzwerkadress bersetzung W hlen Sie Secure Gateway Server und dann Mit normaler Adresse Klicken Sie auf Speichern und dann auf nderungen bernehmen Klicken Sie auf DMZ Einstellungen und dann auf Secure Gateway Unterst tzung Geben Sie den vollqualifizierten Dom nennamen des Access Gateways und den Port 443 ein F gen Sie den Server hinzu auf dem die Secure Ticket Authority ausgef hrt wird Dieser muss mit dem im Access Gateway definierten Server identisch sein Klicken Sie auf Speichern und dann auf nderungen bernehmen So konfigurieren Sie das Webinterface f r Citrix Presentation Server 4 0 1 Klicken Sie auf Start gt Programme gt Citrix gt MetaFrame Presentation Server gt Access Suite Console fiir Presentation Server Klicken Sie im linken Bereich der Access Suite Console auf Suite Komponenten klicken Sie auf Konfigurationstools und anschlie end auf Webinterface Klicken Sie mit der rechten Maustaste auf die Webinterface Site und klicken Sie dan
156. cht damit Sie leichter verstehen wie die im Administration Tool integrierten Funktionen zum Konfigurieren des Benutzerzugriffs zu verwenden sind 308 Access Gateway Standard Edition Administratorhandbuch Nachdem Sie sich mit diesen Beispielen und den Grundkenntnissen zum Konfigurieren des Benutzerzugriffs vertraut gemacht haben k nnen Sie den Benutzerzugriff auf das Access Gateway in Ihrer Produktionsumge bung anhand der in den folgenden Kapiteln enthaltenen Informationen kon figurieren Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung In diesem Kapitel werden die verschiedenen Authentifizierungs und Autorisierungsoptionen und deren Konfiguration erl utert Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen In diesem Kapitel wird die Arbeit mit Benutzergruppen Netzwerkressour cen und verschiedenen Richtlinien zum Definieren von Zugriffssteuerungs listen auf dem Access Gateway beschrieben Kapitel 8 Konfigurieren von Benutzerverbindungen f r den Secure Access Client In diesem Kapitel werden Clientverbindungen zum Access Gateway beschrieben Konfigurationsbeispiele Bevor Sie sich die Beispiele in diesem Kapitel durchlesen sollten Sie sich mit den Einstellungen auf drei Registerkarten des Administration Tools vertraut machen Mit den Einstellungen auf diesen Registerkarten wird der Benutzer zugriff auf interne Netzwerkressourcen gesteuert Global Cluster Pol
157. cht das Access Gateway nach diesem Benutzer im LDAP Verzeichnis berpr ft die Anmeldeinformationen des Benutzers und meldet den Benutzer an Nach der erfolgreichen Authentifizierung pr ft das Access Gateway ein Attribut im Personeneintrag des LDAP Verzeichnisses des Benutzers um festzustellen welchen LDAP Verzeichnisgruppen dieser Benutzer angeh rt Wenn das Access Gateway beispielsweise mit Microsoft Active Directory arbeitet pr ft das Access Gateway das Attribut memberOf im Personen eintrag um festzustellen welchen Gruppen ein Benutzer angeh rt In diesem Beispiel wird angenommen dass der Benutzer Mitglied einer LDAP Verzeichnisgruppe namens Vertriebsau endienst ist 312 Access Gateway Standard Edition Administratorhandbuch Dann sucht das Access Gateway nach einer auf der Registerkarte Access Policy Manager im Administration Tool konfigurierten Benutzergruppe deren Name mit dem Namen einer LDAP Verzeichnisgruppe berein stimmt der dieser Benutzer angeh rt In diesem Beispiel sucht das Access Gateway nach einer auf dem Access Gateway konfigurierten Benutzergruppe namens Vertriebsau endienst Wenn das Access Gateway eine solche Benutzergruppe findet erh lt der Benutzer die der Benutzergruppe auf dem Access Gateway zugewiesenen Zugriffsberechtigungen Autorisierung In diesem Beispiel gew hrt das Access Gateway dem Benutzer die Zugriffsstufen die mit der Benutzergruppe Vertriebsau
158. d Autorisierung bereits konfiguriert sodass Benutzer aus den Bereichen Vertrieb und Technik auf den Webkonferenz server zugreifen k nnen Der Webkonferenzserver hat die IP Adresse 10 10 50 60 Hinweis In diesem Beispiel werden Silvio Branco und Lisa Marth als Gast benutzer angesehen weil sie keine Angestellten des Unternehmens und auch nicht im Unternehmensverzeichnis aufgef hrt sind Um Silvio Branco und Lisa Marth Zugriff auf den Webkonferenzserver zu gew hren f hrt der Administrator die folgenden drei Schritte aus Erstellen eines Authentifizierungsbereichs f r Gastbenutzer Erstellen von lokalen Benutzern Erstellen und Zuweisen einer Netzwerkressource f r die Standardbenutzer gruppe Default auf dem Access Gateway Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 327 Erstellen eines Authentifizierungsbereichs f r Gastbenutzer Das Erstellen eines Authentifizierungsbereichs f r Gastbenutzer ist der erste von drei Arbeitsschritten die der Administrator beim Szenario f r das Erstellen von Gastkonten mit der Liste Local Users ausf hrt Beim vorigen Szenario f r die Konfiguration von LDAP Authentifizierung und Autorisierung hat der Administrator einen Standardauthentifizierungsbereich Default erstellt um die Authentifizierung und Autorisierung der in einem unternehmensinternen LDAP Verzeichnis aufgef hrten Benutzer zu unterst tzen Da Silvio Branco und Lisa Marth nicht im unternehmensintern
159. d Edition Administratorhandbuch Frau Meier m chte geheime Informationen mit Herrn M ller austauschen Frau Meier verschl sselt ihre Nachricht mit dem ffentlichen Schl ssel von Herrn M ller den Herr M ller ffentlich bekannt gegeben hat und leitet die verschl sselte Nachricht an Herrn M ller weiter Wenn Herr M ller die Nachricht erh lt entschl sselt er sie mit seinem privaten Schl ssel damit er die Nachricht lesen kann Wenn Herr M ller eine Antwort an Frau Meier sendet verschl sselt er die Nachricht mit dem ffentlichen Schl ssel von Frau Meier Bei Eingang der Antwort von Herrn M ller entschl sselt Frau Meier seine Nachricht mit ihrem privaten Schl ssel Der wesentliche Vorzug der asymmetrischen Verschl sselung im Vergleich zur symmetrischen Verschl sselung besteht darin dass sich Absender und Empf n ger keine Schl ssel im Voraus mitteilen m ssen Sofern der private Schl ssel geheim gehalten wird erm glichen ffentliche Schl ssel die Weiterleitung ver traulicher Informationen Kombinieren der Kryptografieverfahren mit ffentlichem und geheimen Schl ssel Der gr te Nachteil der Kryptografie mit einem ffentlichen Schl ssel besteht darin dass die Verschl sselung mit den in der PKI blichen sehr langen Schl sseln bei den meisten Computersystemen zu Leistungsproblemen f hren kann Aus diesem Grund werden bei der Kryptografie h ufig ffentliche und private Schl ssel kombinie
160. dardeinstellungen k nnen Sie einfach auf die Warnmeldungen der Programmsteuerung reagieren wenn Sie das erste Mal versuchen den Secure Access Client zu starten oder wenn Sie auf einen gesperrten Speicherort oder eine gesperrte Anwendung zugreifen Wenn Sie auf solch eine Warnmeldung reagieren k nnen Sie festlegen ob die Aktion immer zugelassen oder verhindert werden soll Sie sollten die Aktion immer verhindern Sygate Personal Firewall kostenlose und Pro Version Jedes Mal wenn die Sygate Personal Firewall auf eine neue Aktivit t st t f r die es noch keine Regel gibt wird eine Eingabeaufforderung angezeigt Gew h ren Sie Zugriff auf die Anwendungen und Speicherorte auf die Sie mit dem Secure Access Client zugreifen m chten Klicken Sie auf Ja wenn eine Auffor derung angezeigt wird Tiny Personal Firewall Mit den Tiny Personal Firewall Einstellungen kann der Secure Access Client eine Verbindung zum Internet und den vom Access Gateway zugelassenen Ressourcen herstellen Um die Einstellungen zu konfigurieren ffnen Sie das Verwaltungs fenster der Tiny Personal Firewall und ndern Sie die Einstellungen f r die Filter regeln Hinweis Eine Methode zum Konfigurieren der Tiny Personal Firewall besteht darin auf die Eingabeaufforderungen zu reagieren die angezeigt werden wenn die Firewall auf eine neue Aktivit t st t f r die es noch keine Regel gibt Konfigurieren Sie die Tiny Personal Firewall vor der Install
161. de hat die urspr ngliche Nachricht entschl sseln kann ist die Vertraulichkeit gew hrleistet Mit Kryptografie kann der Absender spezielle Informationen in eine Nachricht aufnehmen die nur dem Absender und Empf nger bekannt sind Der Empf nger kann die Nachricht durch Pr fen dieser speziellen Informationen authentifizieren Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 293 Durch Kryptografie ist auch gew hrleistet dass der Inhalt einer Nachricht nicht ge ndert wird Zu diesem Zweck schlie t der Absender einen kryptografischen Vorgang namens Hashfunktion in die Nachricht ein Eine Hashfunktion ist eine mathematische Darstellung der Informationen und l sst sich mit den Pr fsummen in Daten bertragungsprotokollen vergleichen Bei Eingang der Daten an ihrem Zielort wird die Hashfunktion vom Empf nger berechnet Wenn der Wert der vom Empf nger berechneten Hashfunktion mit dem des Absenders berein stimmt ist die Integrit t der Nachricht gew hrleistet Kryptografietypen Im Wesentlichen werden zwei Kryptografietypen unterschieden Kryptografie mit einem Geheimschl ssel Kryptografie mit einem ffentlichen Schl ssel In kryptografischen Systemen bezieht sich der Begriff Schl ssel auf einen nume rischen Wert der von einem Algorithmus zum ndern von Informationen ver wendet wird wodurch diese Informationen gesch tzt und nur f r die Personen sichtbar sind die ber den entsprechenden Schl ssel zum Abf
162. dem brigen Teil des Netzwerks 10 0 0 0 verbunden ist Der Adapter f r Interface 1 192 168 0 20 ist f r die Kommunikation mit dem Netzwerk 192 168 0 0 und dem zugeh rigen Gateway 192 168 0 1 eingerichtet ber dieses Gateway kann das Interface 1 mit dem Netzwerk 129 6 0 20 und dem Server an der IP Adresse 129 6 0 20 kommunizieren Zum Einrichten der statischen Route m ssen Sie den Pfad zwischen Interface 1 und der IP Adresse 129 6 0 20 erstellen So richten Sie die statische Beispielroute ein 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t Klicken Sie auf die Registerkarte Routes W hlen Sie ggf unter Select routing type die Option Static routing Legen Sie im Feld Destination LAN IP address als IP Adresse des Ziel LANs 129 6 0 0 fest Legen Sie unter Subnet Mask die Subnetzmaske f r das Gatewayger t fest 70 Citrix Access Gateway Standard Edition Administratorhandbuch 6 Legen Sie unter Gateway als IP Adresse des Standardgateways 192 168 0 1 fest 7 Wahlen Sie unter Interface als Gateway Ger teadapter die Option Interface 1 und klicken Sie auf Add 8 Klicken Sie auf der Registerkarte General Networking auf Submit Konfigurieren von Datum und Uhrzeit auf dem Access Gateway Die Systemuhrzeit wird auf der rechten Seite der Taskleiste im Administration Desktop Fenster angezeigt Wenn das Systemdatum angezeigt werden soll zeigen Sie mit dem Mauszeiger auf di
163. den muss sich das Webin terface parallel zum Access Gateway in der DMZ befinden Au erdem muss der Server auf dem das Webinterface ausgef hrt wird ein Mitglied der Dom ne sein Wenn sich Benutzer mit dem Secure Access Client anmelden erfolgt die erste Authentifizierung durch das Access Gateway Wenn ein VPN Tunnel eingerichtet ist kann der Benutzer sich mit der Smartcard am Webinterface anmelden In diesem Szenario kann das Webinterface hinter dem Access Gateway oder im sicheren Netzwerk installiert werden Wenn das Webinterface f r die Verwendung von Smartcardauthentifizierung konfiguriert und parallel zum Access Gateway installiert ist beenden das Access Gateway und das Webinterface beide einen Teil der SSL Verbindung Das Webinterface beendet den sicheren HTTP Verkehr einschlie lich der Benutzerauthentifizierung der Anzeige und dem Starten ver ffentlichter Anwendungen Das Access Gateway beendet ICA Verbindungen die ber die sichere Verbin dung durch den Tunnel geleitet werden Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ Damit der gesamte HTTPS und ICA Verkehr durch einen einzigen externen Port gesendet werden kann und nur ein einziges SSL Zertifikat ben tigt wird kann das Access Gateway als Reverse Webproxy f r das Webinterface fungieren Wenn das Webinterface hinter dem Access Gateway in der DMZ implementiert ist kann die Authentifizierung auf dem Ger t konfiguriert werden dies ist jedoc
164. den Bereich Build an end point policy im oberen Bereich des Dialogfelds und legen Sie sie auf Add end point resources 5 Der Ausdruck wird unter Verwendung des Identifiers AND erstellt Wenn Sie den Identifier ndern m chten klicken Sie mit der rechten Maustaste auf eine der Ressourcen und w hlen Sie im Men einen neuen Identifier aus Klicken Sie auf OK Der Endpunktrichtlinienausdruck wird automatisch konfiguriert Wenn Sie den Ausdruck manuell bearbeiten m chten klicken Sie auf die Option Automatically build expression um sie zu deaktivieren Citrix empfiehlt jedoch die Option aktiviert zu lassen um Fehler im Ausdruck zu vermeiden Festlegen der Priorit t von Gruppen Bei Benutzern die mehreren Gruppen angeh ren k nnen Sie ber die Gruppen priorit t bestimmen welche Richtlinien f r den Benutzer gelten sollen Nehmen wir z B einmal an dass einige Benutzer sowohl zur Gruppe Vertrieb als auch zur Gruppe Support geh ren Wenn die Gruppe Vertrieb in der Liste User Groups vor der Gruppe Support steht gelten f r die Benutzer die beiden Gruppen angeh ren die Richtlinien der Gruppe Vertrieb Steht die Gruppe Support in der Liste vor der Gruppe Vertrieb werden die Richtlinien der Gruppe Support wirksam Die Gruppenpriorit t wirkt sich auf die folgenden Richtlinien aus e Portalseitenkonfiguration Hiermit wird festgelegt welche Portalseite Benutzer beim Herstellen ei
165. den Gruppen auf dem Access Gateway Das Erstellen der entsprechenden Gruppen auf dem Access Gateway ist der dritte von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigura tionsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 319 In diesem Schritt erstellt der Administrator Benutzergruppen auf dem Access Gateway deren Namen mit den Namen der Gruppen tibereinstimmen die der Administrator im LDAP Verzeichnis gefunden oder erstellt hat In einem vorigen Arbeitsschritt hat der Administrator die LDAP Verzeichnis gruppen Vertriebsau endienst und Au endiensttechniker im LDAP Verzeichnis erstellt In diesem Schritt muss der Administrator nun Benutzergruppen namens Vertriebsau endienst und AuBendiensttechniker auf dem Access Gateway erstellen So erstellen Sie Benutzergruppen auf dem Access Gateway l Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf User Groups und klicken Sie dann auf New Group Geben Sie im Feld Group Name einen Namen ein dessen Schreibweise Gro und Kleinschreibung genau mit dem Namen einer LDAP Verzeichnisgruppe aus dem vorigen Schritt bereinstimmt Geben Sie beispielsweise Vertriebsau endienst ein und klicken Sie dann aufOK 3 Jetzt wird d
166. den Metho den erreichen Sie dass die Anmeldung an der Anmeldeseite entf llt Sie k nnen eine globale Richtlinie einrichten mit der die Authentifizierung f r die Anmeldeseite deaktiviert wird und die angibt welche Anmeldeseite f r alle Benutzer angezeigt wird Diese globale Richtlinie setzt alle Anmeldeseitenfestlegungen f r Gruppen au er Kraft Sie k nnen Ihre Website direkt mit Links zum Secure Access Client und zum Kioskmodus versehen siehe dazu Einf gen von Links zu Clients auf Threr Website auf Seite 189 184 Citrix Access Gateway Standard Edition Administratorhandbuch So aktivieren Sie die Anmeldeseitenauthentifizierung l Klicken Sie auf die Registerkarte Global Cluster Policies 2 Wahlen Sie unter Advanced options die Option Enable logon page authentication 3 Klicken Sie auf Submit Wenn das Kontrollk stchen Enable logon page authentication nicht aktiviert ist meldet sich der Benutzer nicht an sondern er wird direkt zur benutzerdefi nierten Portalseite weitergeleitet Anpassen der Anmeldeseite Sie passen die Anmeldeseite an indem Sie eigene Bilder hochladen Stylesheets und Text verwenden Nach dem Upload wird den Benutzern die angepasste Anmeldeseite anstelle der Standardseite angezeigt So passen Sie die Anmeldeseite auf dem Access Gateway an 1 Klicken Sie auf die Registerkarte Portal Page Configuration 2 Wahlen Sie auf der Registerkarte Logon Page in der Dropdownliste Logon
167. der anmeldet ist die Internetverbindung unter brochen Zum Wiederherstellen der Internetverbindung m ssen Sie den Computer neu starten DNS Namensaufl sung mit Namensdienstanbietern Wenn Clients ohne administrative Berechtigungen ber Windows 2000 Professional oder Windows XP eine Verbindung zum Access Gateway herstellen kann die DNS Namensaufl sung scheitern wenn der Client einen Namensdienst anbieter verwendet Dieses Problem l sst sich beheben indem die Verbindung nicht mit dem DNS Namen sondern mit der IP Adresse des Computers herge stellt wird Funktion zum automatischen Aktualisieren Die Secure Access Client Funktion zum automatischen Aktualisieren funktioniert nicht wenn der Client f r das Herstellen der Verbindung ber einen Proxyserver konfiguriert ist Von Windows Server 2003 Computern ausgehende Clientverbindungen Wenn von einem Windows Server 2003 Computer aus eine Verbindung zum Access Gateway hergestellt wird der sein eigener DNS Server ist funktionieren die lokale und die ffentliche DNS Aufl sung nicht Dieses Problem k nnen Sie beheben indem die Windows Server 2003 Netzwerkeinstellungen auf einen anderen DNS Server verweisen Anhang D Problembehandlung beim Access Gateway 339 NTLM Authentifizierung Der Secure Access Client bietet keine Unterst tzung f r die NTLM Authentifi zierung gegentiber von Proxyservern Bei Proxyservern wird lediglich die einfache Authentifizierung unterstiitzt
168. der rechten Maustaste im rechten Bereich auf die Endpunktressource die entfernt werden soll und klicken Sie dann auf Remove Erstellen einer Endpunktrichtlinie f r eine Gruppe Sie k nnen einen booleschen Ausdruck erstellen indem Sie Endpunktressourcen auf den End Point Policy Expression Generator ziehen und dort ablegen Der Generator erstellt den Ausdruck automatisch wenn Sie die Ressourcen per Drag amp Drop in den Generator ziehen Ausdr cke k nnen jederzeit bearbeitet werden Geben Sie zum Konfigurieren einer Endpunktrichtlinie f r eine Gruppe einen Ausdruck an der die Endpunktressourcen enth lt die auf die Gruppe angewendet werden sollen Stellen Sie sich vor Sie erstellen die folgenden Endpunktrichtlinien UntRessRegEintrag AntiVirusProzess 1 AntiVirusProzess2 134 Citrix Access Gateway Standard Edition Administratorhandbuch Thr Endpunktrichtlinienausdruck k nnte festlegen dass eine Registrierungspr f summe verifizieren muss dass die Ressource die versucht eine Verbindung herzustellen zum Unternehmen geh rt und dass auf der Ressource einer der Anti virusprozesse ausgef hrt werden muss Ein solcher boolescher Ausdruck w rde wie folgt aussehen UntRessRegEintrag amp AntiVirusProzessl AntiVirusProzess2 G ltige Operatoren f r Endpunktrichtlinienausdr cke dient zum Verschachteln von Ausdr cken um deren Auswertung zu steuern amp logisches UND logisches ODER
169. deskripte 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Session options die Option Run logon scripts Klicken Sie auf OK Hinweis Die Anmeldeskriptunterst tzung ist beschr nkt auf Skripte die von der Befehlsverarbeitung ausgef hrt werden wie z B EXE und BAT Dateien Visual Basic und JavaScript Anmeldeskripte werden nicht unterst tzt Aktivieren von Secure Access Client Sitzungstimeouts Sie k nnen den Secure Access Client so konfigurieren dass die Trennung der Verbindung zum Access Gateway erzwungen wird falls w hrend eines bestimm ten Zeitraums in Minuten keinerlei Aktivit ten ber die Verbindung zu ver zeichnen sind Eine Minute vor dem Timeout also der Trennung der Sitzung erh lt der Benutzer eine Warnmeldung dass die Sitzung in K rze geschlossen wird Falls die Sitzung tats chlich geschlossen wird muss der Benutzer sich erneut anmelden Beim Konfigurieren eines Werts f r ein Sitzungstimeout stehen drei Optionen zur Auswahl User session timeout Mit dieser Einstellung trennt der Secure Access Client die Verbindung nach Ablauf der Timeoutfrist unabh ngig von den aktuellen Aktivit ten des Benutzers Der Benutzer hat keine M glichkeit diese Trennung nach Ablauf der Timeoutfrist zu vermeiden Network inactivity tim
170. die Anzahl der Benutzer die Kapazit t eines einzelnen Access Gateways k nnen Sie zus tzliche Ger te installieren und so die Arbeitsbelastung bew ltigen e Hohe Verf gbarkeit Failover Sie k nnen mehrere Ger te installieren sodass in jedem Fall ein Access Gateway f r die Benutzerverbindungen verf gbar ist wenn ein anderes Access Gateway ausf llt Diese Konfigu ration gew hrt eine hohe Verf gbarkeit des internen Netzwerks f r die Remotebenutzer Um sowohl Skalierbarkeit als auch Failover zu unterst tzen stellen Sie vor den Access Gateway Ger ten einen Load Balancer bereit Ein Load Balancer eignet sich in der Regel f r gr ere Unternehmen mit zahlreichen Remotebenutzern Weitere Informationen hierzu finden Sie unter Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers auf Seite 275 272 Citrix Access Gateway Standard Edition Administratorhandbuch Soll nur Failover unterst tzt werden k nnen Sie zwei oder mehrere Access Gateway Ger te bereitstellen und dann ein Ger t mit dem Administration Tool so konfigurieren dass dieses Ger t das Failover auf bis zu drei weitere Ger te aus f hrt Wenn ein Access Gateway ausf llt werden die Benutzer automatisch mit einem anderen Access Gateway verbunden Bei dieser Form der Bereitstellung ist kein Load Balancer erforderlich Weitere Informationen hierzu finden Sie unter Konfigurieren von Access Gateway Failover auf Seite 280 Beim Konfigur
171. die sich u U negativ auf die Stabilit t und Leistung des Access Gateways auswirken Systemmeldungsprotokolle werden auf dem Access Gateway f r die Dauer von 30 Tagen archiviert Das lteste Protokoll wird dann jeweils durch das aktuelle Protokoll ersetzt 284 Citrix Access Gateway Standard Edition Administratorhandbuch Sie k nnen jederzeit einzelne oder auch alle Protokolle herunterladen Sie k nnen Systemmeldungen auch an Ihren Systemprotokollserver weiterleiten Informatio nen hierzu finden Sie unter Weiterleiten von Systemmeldungen an einen Systemprotokollserver auf Seite 286 Hinweis Wenn Sie ber das Administration Tool keine Verbindung zum Access Gateway herstellen k nnen gehen Sie zum Administration Portal und klicken Sie auf die Registerkarte Logging So k nnen Sie das Systemprotokoll anzeigen und filtern l ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway Klicken Sie auf Logging Settings Klicken Sie unter Gateway log auf Show Log File Das Protokoll f r das aktuelle Datum wird angezeigt Wenn Sie das Protokoll f r ein fr heres Datum anzeigen m chten w hlen Sie in der Liste Log archive das entsprechende Datum aus und klicken Sie dann auf View Log Standardm ig werden im Protokoll alle Eintr ge angezeigt Das Protokoll kann aber wie folgt gefiltert werden e W hlen Sie im Bereich Log Filters unter Log Type entweder Administrators Syst
172. diert und anschlieBend auf Weiter Geben Sie einen Dateinamen ein z B G tmp servercert cer Uberpriifen Sie die Informationen und notieren Sie sich den vollst ndigen Dateinamen Klicken Sie auf Fertig stellen Klicken Sie auf OK um das Fenster Zertifikat f r die erste Ebene zu schlie en Wiederholen Sie die Schritte 4 bis 10 f r alle Ebenen au er der letzten Ebene Speichern Sie alle Zertifikate in einer Datei und stellen Sie sicher dass s mtliche Zwischenzertifikate in der Zertifikatdatei enthalten sind die Sie hochladen Die Datei zum Hochladen muss das folgende Format haben Privater Schl ssel Serverzertifikat Zwischenzertifikat 0 Zwischenzertifikat 1 Zwischenzertifikat 2 306 Citrix Access Gateway Standard Edition Administratorhandbuch Anfordern von Zertifikaten fur interne Verbindungen Um die Sicherheit interner Verbindungen zu erh hen die vom Access Gateway ausgehen k nnen Sie festlegen dass das Access Gateway die SSL Serverzertifi kate validieren muss Das berpr fen von SSL Serverzertifikaten ist eine wich tige Sicherheitsma nahme da so Sicherheitsverletzungen wie Man in the Middle Angriffe zu verhindert werden k nnen Durch das Erzwingen der berpr fung der SSL Serverzertifikate erh ht sich die Sicherheit bei Verbindungen zwischen dem Access Gateway und den Servern auf denen Access Gateway Advanced Edition ausgef hrt wird Diese Verbindungen sind sicherheitssensibel weil sie zum Konfi
173. dieser Sitzung richtet sich nach der Einstellung f r Deny access without access control list ACL So verweigern Sie Benutzergruppen ohne Zugriffssteuerungsliste den Zugriff 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Klicken Sie im Bereich Access Options auf Deny access without access control list ACL 3 Klicken Sie auf Submit Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 119 Erstellen lokaler Benutzergruppen Sie k nnen auch lokale Gruppen hinzuf gen die in keiner Beziehung zu Gruppen auf den Authentifizierungsservern stehen So k nnen Sie z B eine lokale Gruppe erstellen um einen Vertragspartner oder Besucher einzurichten der vor berge hend Zugriff haben soll Das Erstellen eines Eintrags auf dem Authentifizierungs server ist dabei nicht n tig Informationen zum Erstellen eines lokalen Benutzers finden Sie unter Konfigurieren lokaler Benutzer auf Seite 84 Hinweis Wenn Sie eine Benutzergruppe mit mehr als 127 Zeichen erstellen und diese Gruppe anschlie end l schen wird sie dennoch weiterhin auf der Registerkarte Group Priority angezeigt Sie k nnen dieses Problem umgehen indem Sie Benutzergruppennamen mit weniger als 127 Zeichen verwenden Alle Zeichen die diese Grenze berschreiten werden abgeschnitten Konfigurieren von Ressourcengruppen Eine Reihe von Aspekten des Access Gateway Betriebs werden auf Gruppen ebene konfiguriert Dabei wird zwischen
174. dlung Webinterface 331 Produktdokumentation 15 Protokollierung 284 Administration Portal 259 Administration Tool 259 Clientverbindungsprotokolle 285 Lizenzen 53 Serielle Konsole 43 Proxyserver F r Secure Access Client konfigurieren 148 155 Konfigurieren 148 Proxyservereinstellungen 21 Public Key Infrastructure 291 R RADIUS Authentifizierung 28 95 142 Challenge Response Authentifizierung 22 Internetauthentifizierungsserver konfigurieren 96 Konfigurieren 97 SafeWord PremierAccess 22 SafeWord verwenden 105 RADIUS Autorisierung 95 Konfigurieren 98 RC4 20 Real time Monitor 173 289 Gruppenpriorit ten 137 Remotedesktop 158 162 Ressourcen Dateifreigaben 120 165 F r Benutzergruppe konfigurieren 128 Kiosk 120 Ressourcengruppen Entfernen von Benutzergruppen 128 Konfigurieren 119 Richtlinien Anmeldeseiten 183 IP Pooling 168 RIP Authentifizierung 65 Routen Dynamisches Routing konfigurieren 64 66 Statisch 67 Statisches Routing konfigurieren 66 67 Routing Netzwerkzugriff 114 RSA ACE Server Node Secret zurticksetzen 103 sdconf rec hochladen 102 RSA SecurID Authentifizierung 28 100 142 Cluster 103 IP Adresse einrichten 102 Konfigurieren 102 348 Citrix Access Gateway Standard Edition Administratorhandbuch S SafeWord Authentifizierung 22 28 104 142 Konfiguration 105 Unterst tzte Produkte 104 SafeWord Autorisierung 106 Schulungen 16 sdconf rec Datei Cluster 103 Ersetzen 102 Hochladen 10
175. dm ig ffnen Windows Benutzer eine Verbindung indem sie den Secure Access Client vom Desktop aus starten Durch Aktivieren von Single Sign On k nnen Sie festlegen dass der Secure Access Client automatisch gestartet wird wenn sich der Benutzer an Windows anmeldet Ist Single Sign on konfiguriert werden die Windows Anmeldeinformationen des Benutzers zur Authentifizierung an das Access Gateway weitergegeben Aktivieren Sie Single Sign On nur wenn sich die Computer der Benutzer an der Dom ne Ihrer Organisation anmelden Wenn Single Sign On aktiviert ist und ein Benutzer eine Verbindung von einem Computer herstellt der sich nicht in Ihrer Dom ne befindet wird der Benutzer aufgefordert sich anzumelden Hinweis Voraussetzung f r die Nutzung von Single Sign On f r den Secure Access Client unter Windows ist die Anmeldung als Hauptbenutzer oder die Mitgliedschaft in der Gruppe der Hauptbenutzer Wenn der Secure Access Client f r den Single Sign On Betrieb unter Windows konfiguriert ist wird er automatisch gestartet sobald sich der Benutzer an Windows anmeldet Die Windows Anmeldeinformationen des Benutzers werden zur Authentifizierung an das Access Gateway weitergegeben Durch das Konfi gurieren der Single Sign On Funktionalit t f r den Secure Access Client wird der Remotecomputer u a in die Lage versetzt Installationsskripte aus und automati sche Laufwerkszuordnungen durchzuf hren 150 Citrix Access Gateway Standard Editi
176. dministration Tool neu starten Neustarten des Access Gateways Wenn Sie nderungen am Access Gateway vorgenommen haben m ssen Sie das Ger t u U neu starten So starten Sie das Access Gateway neu 1 Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich Access Gateway management neben Restart the appliance auf Restart oder Klicken Sie im Men Action auf Restart Access Gateway Name wobei Access Gateway Name der Name des Ger ts ist Sie k nnen das Access Gateway auch ber das Administration Portal neu starten So starten Sie das Access Gateway ber das Administration Portal neu Klicken Sie auf der Registerkarte Maintenance neben Restart the server auf Restart 266 Citrix Access Gateway Standard Edition Administratorhandbuch Herunterfahren des Access Gateways Fahren Sie das Access Gateway niemals herunter indem Sie den Netzschalter dr cken Verwenden Sie die Befehle im Administration Tool oder im Administra tion Portal zum Herunterfahren des Ger ts Der Netzschalter darf nur zum Ein schalten des Ger ts verwendet werden So fahren Sie das Access Gateway herunter 1 Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich
177. dpunktrichtlinie Ausdruck erstellen 134 Erstellen 134 F r Gruppe konfigurieren 133 G ltige Operatoren 134 Problembehandlung 334 Entfernen von Bereichen 83 Ersetzen von Secure Gateway 197 Ethereal Network Analyzer 289 Unverschl sselter Datenverkehr 145 Express Setup Serielle Konsole 43 F Failover 35 Bereitstellung 280 DNS Server 62 Intern 170 Konfigurieren 280 Federal Information Processing Standard 292 Fingerabfrage 289 FIPS 140 siehe Federal Information Processing Standard Firefox 160 Kioskmodus 158 Firewall BlackICE PC Protection 268 Lizenzierung 53 McAfee Personal Firewall Plus 268 Mit Secure Access Client verwenden 143 Norton Personal Firewall 269 Sygate Personal Firewall 269 Tiny Personal Firewall 269 ZoneAlarm Pro 270 fnetload Tool 290 Freigegebene Netzlaufwerke 158 166 FTP F r die Verwendung mit Clients konfigurieren 147 In Kiosksitzung verwenden 166 G Gaim 158 164 Gemeinsamer geheimer Schl ssel 103 Gruppen Benutzer hinzuf gen 124 Gruppenattribute LDAP Autorisierung 92 Gruppeneigenschaften 119 Gruppenpriorit t 121 135 Gruppenressourcen 120 Gruppenzugriff Konfigurationsbeispiele 318 H Hardware Installieren 41 Herunterfahren des Access Gateways 266 HOSTS Datei 22 Bearbeiten 63 Host berpr fungsregeln siehe Endpunktressourcen HyperTerminal 44 59 H 323 Protokoll 337 IAS siehe Internetauthentifizierungsserver ICA Datei 208 ICA Verbindung 209 ICA Zugriffssteuerung 214 ICMP bertr
178. dung zum Access Gateway herstellen k nnen Wenn sich das Webinterface hinter dem Access Gateway in der DMZ oder im sicheren Netzwerk befindet empfiehlt Citrix dass sich Benutzer zuerst am Access Gateway anmelden bevor sie eine Verbindung zum Webinterface herstellen So aktivieren Sie die Anmeldeseitenauthentifizierung 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 W hlen Sie unter Advanced options die Option Enable logon page authentication Konfigurieren der ICA Zugriffssteuerung Sie k nnen eine ICA Zugriffssteuerungsliste konfigurieren damit das Access Gateway nur auf bestimmte Servern in der Serverfarm Zugriff erlaubt Sie k nnen im Administration Tool auf der Registerkarte ICA Access Control die sich auf der Registerkarte Authentication befindet eine ICA Zugriffs steuerungsliste erstellen Zum Erstellen einer ICA Zugriffssteuerungsliste m ssen Sie einen IP Adress bereich eingeben der mit den Servern in der Serverfarm bereinstimmt f r die Sie den Zugriff gew hren wollen und au erdem das entsprechende Protokoll bzw den entsprechenden Port f r die Verbindung mit diesen Servern festlegen Wenn Sie eine oder mehrere ICA Zugriffssteuerungslisten erstellen muss ein Server auf dem Citrix Presentation Server ausgef hrt wird in einer der Zugriffs steuerungslisten enthalten sein bevor Benutzer darauf zugreifen k nnen Das Access Gateway l sst nur Verbindungen zu den Servern zu die in den Zugri
179. dungen fur den Secure Access Client In diesem Kapitel werden Benutzerverbindungen erl utert sowie die Verfahren mit denen Benutzer ber den Secure Access Client eine Verbindung zum Access Gateway und den Unternehmensressourcen herstellen Benutzerverbindungen werden mit sicheren Verbindungen wie folgt aufgebaut ber einen Webbrowser der eine Verbindung zum Access Gateway herstellt ber die ausf hrbare Datei des Secure Access Clients die auf dem Clientcomputer installiert ist 140 Citrix Access Gateway Standard Edition Administratorhandbuch Bei der Verbindungsherstellung wird ein sicherer Tunnel zum Unternehmens netzwerk gebildet und das Access Gateway tibernimmt den SSL Handshake In diesem Kapitel werden die folgenden Themen behandelt Systemvoraussetzungen Unterst tzung f r den Secure Access Client Konfigurieren von Proxyservern ftir den Secure Access Client Herstellen einer Verbindung mit einer Webadresse Verbindungen im Kioskmodus Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung Konfigurieren weiterer Gruppeneigenschaften Schlie en und Deaktivieren von Benutzerverbindungen Anfordern von Clientzertifikaten f r die Authentifizierung Installieren von Stammzertifikaten Ausw hlen einer Verschl sselungsart f r Clientverbindungen Systemvoraussetzungen Der Secure Access Client wird von folgenden Betriebssystemen und Webbrowsern unterst tzt Betriebssysteme Der
180. e Authentifizierung bei einer Microsoft Windows Active Directory Dom ne konfiguriert Neben der Erf llung der Webinterface Anforderungen ist es auch erforderlich dass Presentation Server im sicheren Netzwerk installiert ist Das Konfigurieren des Access Gateways f r die Verwendung von Passthrough Authentifizierung hat folgende Vorteile und Funktionen Benutzer m ssen sich einmal beim Access Gateway authentifizieren und erhalten vom Webinterface keine Aufforderung zur erneuten Authentifizierung Eingehender sicherer HTTPS Verkehr wird vom Access Gateway beendet und authentifiziert wobei sich das Webinterface im sicheren Netzwerk statt in der DMZ befinden kann Es sch tzt die Server auf denen das Webinterface ausgef hrt wird Es erm glicht die Installation des Webinterface im internen Netzwerk statt in der DMZ Passthrough Authentifizierung unterst tzt die Anmeldung und Authentifizierung mit LDAP und Active Directory f r das Access Gateway und das Webinterface 218 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren des Access Gateways fur Single Sign On beim Webinterface Um Single Sign On beim Webinterface zuzulassen muss das Access Gateway auf Gruppenebene konfiguriert werden Wenn Sie m chten dass sich alle Gruppen mit Single Sign On am Webinterface anmelden k nnen m ssen Sie die Einstellungen in der Standardbenutzergruppe konfigurieren Wenn andere Benutzergruppen die Eigenschaften de
181. e Authentifizierung beim Server abgeschlossen sein muss Wenn sich ein Benutzer am Access Gateway anmeldet gibt er seine Anmelde informationen Benutzername und Kennwort ein die im Dom nenbenutzerkonto auf dem Windows NT 4 0 Server hinterlegt sind Das Access Gateway stellt eine Verbindung zum Windows NT 4 0 Server her und bergibt diese Anmeldeinfor mationen an den Server Der Server authentifiziert den Benutzer So konfigurieren Sie NTLM Authentifizierung 1 Klicken Sie auf die Registerkarte Authentication 2 Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen f r den Authentifizierungsbereich ein Wenn Ihre Site mehrere Authentifizierungsbereiche besitzt sollten Sie einen Namen verwenden aus dem deutlich der NTLM Bereich hervorgeht f r den Sie die Einstellungen festlegen Bei Bereichsnamen ist auf die 108 Citrix Access Gateway Standard Edition Administratorhandbuch Gro und Kleinschreibung zu achten Dar ber hinaus k nnen sie Leerzeichen enthalten Hinweis Wenn der Bereich Default NTLM Authentifizierung verwen den soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 81 beschrieben 3 Wahlen Sie One Source und klicken Sie auf Add 4 Wahlen Sie im Dialogfeld Select Authentication Type unter Authentication type die Option NTLM authentication und klicken Sie auf OK Ein Dialogfeld mit dem Na
182. e Global Cluster Policies nicht aktiviert melden sich die Benutzer erst dann an wenn die Verbindung zur Portalseite aufgebaut ist siehe Schritt 3 Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 73 3 So stellen Sie mit dem Secure Access Client eine Verbindung von einem sicheren Computer aus her Klicken Sie auf Eigener Computer Beim ersten Herstellen einer Verbindung ber den Webbrowser wird der Client aufgefordert das ActiveX Steuerelement net6helper cab zu installieren Installieren Sie das ActiveX Steuerelement Klicken Sie auf Speichern und dann auf ffnen Der Secure Access Client wird auf dem Clientcomputer installiert Wenn die Verbindung zum Access Gateway zum ersten Mal herge stellt wird werden die Verwendungsbedingungen f r die Software angezeigt Klicken Sie auf Annehmen um den Treiber zu installie ren Nach der Installation des Treibers kann der Benutzer den Secure Access Client starten ohne dazu ber die Webanmeldung und die Portalseite gehen zu m ssen Klicken Sie auf der Portalseite auf Verbinden Die Verbindung erm glicht es den Benutzern mit der verbundenen Site genau so zu arbeiten als w ren sie auf der Site selbst angemel det Die Daten k nnen zwischen dem Remotecomputer und der ver bundenen Site wechselseitig bertragen werden 4 Falls Sie ber einen Webbrowser auf Kioskressourcen zugreifen klicken Sie auf ffentlicher Computer Die Benutzer geben
183. e Gruppenmitgliedschaftsattribute zur ckgibt Weitere Informationen finden Sie in der Produktdokumentation Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 107 Konfigurieren von NTLM Authentifizierung und Autorisierung Das Access Gateway kann so konfiguriert werden dass Benutzer mit NTLM Authentifizierung Windows NT LAN Manager anhand der Benutzerdatenbank auf einem Windows NT 4 0 Dom nencontroller authentifiziert werden Wenn ein Benutzer sich nicht in der Benutzerdatenbank auf den Windows NT 4 0 Dom nencontrollern befindet oder die Authentifizierung fehlschl gt kann das Access Gateway den Benutzernamen anhand der lokalen Benutzerliste auf dem Access Gateway berpr fen und den Benutzer anhand der lokalen Liste authentifizieren sofern das Kontrollk stchen Use the local user database on the Access Gateway auf der Registerkarte Settings aktiviert ist Ein Windows NT 4 0 Dom nencontroller unterh lt Dom nenbenutzerkonten in einer Datenbank auf dem Windows NT 4 0 Server Ein Dom nenbenutzerkonto umfasst einen Benutzernamen und ein Kennwort sowie weitere Informationen liber den Benutzer Zum Konfigurieren der NTLM Authentifizierung erstellen Sie einen NTLM Authentifizierungsbereich in dem Adresse und Port hinterlegt sind die das Access Gateway zum Herstellen einer Verbindung zum Windows NT 4 0 Dom nencontroller verwendet Au erdem geben Sie einen Timeoutwert an mit dem festgelegt wird in welcher Zeit ein
184. e IP Adresse oder den FQDN des Servers ein auf dem das Webinterface gehostet wird 5 Klicken Sie auf Use a secure connection um die Verbindung zu sichern 6 Wenn sich die Benutzer ber den Secure Access Client anmelden k nnen sollen aktivieren Sie die Option Use the multiple logon option page Klicken Sie auf OK Hinweis Das Webinterface muss Verbindungen vom Access Gateway unterst tzen um diese Konfiguration abschlie en zu k nnen Weitere Informationen zum Konfigurieren des Webinterface finden Sie unter Bereitstellen von Zugriff auf ver ffentlichte Anwendungen auf Seite 193 Anmelden mit Zweimethodenauthentifizierung Wenn das Access Gateway so konfiguriert ist dass Benutzer sich mit zwei ver schiedenen Authentifizierungsverfahren wie LDAP und RSA SecurID anmelden m ssen werden die Benutzer automatisch zur entsprechenden Webseite oder zum Secure Access Client Dialogfeld weitergeleitet wo sie ihren Benutzernamen und ihre Kennw rter eingeben k nnen Weitere Informationen zur Zweimethoden authentifizierung finden Sie unter Konfigurieren von Zweimethodenauthentifi zierung auf Seite 110 Wenn Sie m chten dass die Kennwort Label den Authentifizierungstyp beschrei ben mit dem sich Benutzer anmelden k nnen Sie diese Label ndern Weitere Informationen hierzu finden Sie unter ndern der Beschriftung von Kennwort feldern auf Seite 111 192 Citrix Access Gateway Standard Edition Administr
185. e Systemuhrzeit Wenn Sie auf die Systemuhrzeit klicken wird eine Kalenderansicht angezeigt Diese wird bei erneutem Klicken auf die Systemuhrzeit wieder geschlossen So ndern Sie das Systemdatum und die Systemuhrzeit 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t Klicken Sie auf die Registerkarte Date Aktivieren Sie unter Synchronization Mode die Option Manual Geben Sie unter Date das Datum und die Uhrzeit ein W hlen Sie unter Time zone eine Zeitzone aus Klicken Sie auf Submit DP AER as Konfigurieren eines NTP Servers Das Network Time Protocol NTP sendet und empfangt Zeitinformationen tiber TCP IP Netzwerke Es eignet sich daher f r die Synchronisierung der internen Uhr von Computern im Netzwerk auf der Basis einer gemeinsamen Referenzzeit Wenn sich in Ihrem sicheren Netzwerk ein NTP Server befindet k nnen Sie das Access Gateway mit dem Administration Tool so konfigurieren dass die Uhrzeit des Ger ts mit der vom NTP Server bereitgestellten Zeit synchronisiert wird Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 71 Verwenden So synchronisieren Sie das Access Gateway mit einem NTP Server 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Date 3 Aktivieren Sie unter Synchronization Mode die Option Network Time Protocol NTP 4 Geben Sie in das Feld NTP se
186. e TCP IP Einstellungen f r werden w hrend der Installation des Ger ts konfiguriert Erweiterte Einstel lungen f r die Verwaltung des Access Gateways werden mit der Access Manage ment Console konfiguriert die Teil von Access Gateway Advanced Edition ist Weitere Informationen finden Sie unter Bereitstellen von Access Gateway Advanced Edition auf Seite 37 oder im Administratorhandbuch f r Citrix Access Gateway Advanced Edition Hinweis Beim Bereitstellen von Access Gateway Advanced Edition muss das Ger t die einzige Komponente in der DMZ sein die mit der Access Serverfarm kommuniziert Access Gateway Advanced Edition kann nicht mit Secure Gateway zusammenarbeiten Verbindungen im Kioskmodus Das Access Gateway verf gt dar ber hinaus auch ber einen Kioskmodus der eine VNC artige Virtual Network Computing Verbindung zum Access Gateway ffnet Der Kioskmodus kann freigegebene Netzlaufwerke eine Vielzahl von integrierten Clients Server mit Windows Terminaldiensten Remotedesktop und Clientanwendungen beinhalten Weitere Informationen ber den Kioskmodus finden Sie unter Verbindungen im Kiosk modus auf Seite 157 Funktionen des Access Gateways Das Access Gateway bernimmt die folgenden Funktionen Authentifizierung Terminierung verschl sselter Sitzungen Zugriffssteuerung auf der Basis von Berechtigungen Weiterleitung des Datenverkehrs wenn die ersten drei Funktionen erf llt wurden
187. e Ticket Authority Details angezeigt Hinweis Sie k nnen der Liste mehrere Server hinzuf gen auf denen die Secure Ticket Authority ausgef hrt wird Die Liste dieser Server sollte mit der Liste des Webinterface identisch sein F hren Sie diese Schritte nur aus wenn Sie eine ICA Zugriffssteuerungsliste erstellen m chten 244 Citrix Access Gateway Standard Edition Administratorhandbuch Optional So erstellen Sie eine ICA Zugriffssteuerungsliste l Klicken Sie auf die Registerkarte Authentication und dann auf die Registerkarte ICA Access Control Wenn Sie einen Bereich von Servern angeben m chten auf denen Presentation Server ausgef hrt wird geben Sie in den Feldern Starting IP address und Ending IP address die erste und die letzte IP Adresse ein W hlen Sie unter Protocol die Option ICA oder CGP Citrix Gateway Protocol das f r Sitzungszuverl ssigkeit und SmoothRoaming verwendet wird Behalten Sie die unter Port angegebene Standardportnummer bei oder geben Sie eine neue Nummer ein Der Standardport f r ICA Verbindungen ist 1494 Der Standardport f r die Sitzungszuverl ssigkeit ist 2598 Klicken Sie auf Add Schritt 8 ffnen der entsprechenden Ports in den Firewalls Bei diesem Schritt m ssen Sie gew hrleisten dass die entsprechenden Ports in den Firewalls offen sind um die Verbindungen in einer Double Hop DMZ Bereitstellung zu unterst tzen Zwischen den verschiedenen Komponenten in einer D
188. e does not match Fehlermeldung 333 Informationen 53 Installieren 49 51 Kulanzzeitraum 54 Mehrere Ger te 52 Ports 53 Protokollierung 53 Testen 54 Lizenzierung 21 Firewall Regeln 53 Lizenzserver 50 Load Balancer Als Standardgateway festlegen 279 Ger te bereitstellen 275 Installations und Konfigurationsprobleme 276 Lokale Authentifizierung 83 142 Lokale Autorisierung Konfigurationsbeispiele 329 Lokale Benutzer 117 Konfigurationsbeispiel 325 Konfigurieren 84 Mehrere Benutzergruppen 121 Lokale Benutzergruppen 119 MAC Adresse Benutzer deaktivieren und aktivieren 175 Maximum Transmission Unit 46 McAfee Personal Firewall Plus 268 Mehrere Anmeldeoptionen Portalseite 190 Mehrere Ports 21 MTU siehe Maximum Transmission Unit Multi Router Traffic Grapher 286 N Namensdienstanbieter 62 339 Problembehandlung bei Namensaufl sung 338 Namensscan 289 NetMeeting 337 Network Time Protocol NTP 70 Netzwerk Flooding 336 Freigegebene Laufwerke 166 Paketdatenanalyse 289 Route Tracing 289 Scannertools 289 Spamming 336 Split Tunneling 116 berwachen 288 berwachung der Schnittstellenverkehrslast 290 Verbindungsfehler 336 Netzwerkadapter Konfigurieren der TCP IP Einstellungen 45 Netzwerkaktivit tstimeout 120 Netzwerkgeschwindigkeit Einstellen 46 Netzwerkinaktivit tstimeout 21 171 Netzwerkkabel 40 Installation 45 Konfigurieren von TCP IP 45 Netzwerkressource CIDR nicht erkannt 334 Erstellen 126 Hinzuf gen zu ein
189. e f r Netzwerkressourcen In dieser Version k nnen Sie Portbereiche konfigurieren Sie haben vier Optionen beim Konfigurieren der Ports die das Access Gateway zum Herstellen einer Verbin dung zu internen Netzwerkressourcen verwendet Sie k nnen einen einzigen Port mehrere einzelne Ports einen Portbereich oder alle Ports festlegen Aktualisierte Lizenzierung Die Lizenzierung f r das Access Gateway wurde ge ndert damit ein Access Gateway als Lizenzserver f r alle bereitgestellten Ger te fungieren kann Lizenzen werden auf einem Access Gateway installiert und die anderen Ger te im Netzwerk werden so konfiguriert dass sie ihre Lizenzen von dem prim ren Access Gateway erhalten 22 Citrix Access Gateway Standard Edition Administratorhandbuch VoIP Softphone Unterstiitzung Das Access Gateway untersttitzt VoIP Soft phones von Avaya Nortel und Cisco Bearbeiten der HOSTS Datei Sie k nnen die HOSTS Datei auf dem Access Gateway ber die Benutzeroberfl che des Administration Tools bearbeiten Das Access Gateway verwendet die HOSTS Datei zusammen mit DNS Servern um DNS Aufl sung zum bersetzen von Hostnamen in IP Adressen zu zwingen Ausf hren von in der Microsoft Active Directory Gruppenrichtlinie festgelegten Anmeldeskripten Das Access Gateway unterst tzt die Ausf hrung von Windows Anmeldeskripten die in der Microsoft Active Directory Gruppenricht linie festgelegt sind Benutzer m ssen sich erfolgreich beim Secure Acc
190. ebsitzung 172 Timeout wegen inaktiver Sitzung 120 171 Tiny Personal Firewall 269 TLS Transport Layer Security 291 TLS siehe Transport Layer Security Traceroute Tool 289 Transport Layer Security 142 Cc Jber Access Gateway zug ngliche Netzwerke Secure Access Client Fenster 157 Uberpriifungsintervall Access Gateway Advanced Edition 38 Jberwachungstool 288 hrzeit Einstellungen 70 Synchronisieren mleitung Ports 21 47 nsichere Verbindungen Umleiten 47 Unterst tzung 15 16 V Verbindungen Access Gateway Advanced Edition 19 Citrix Presentation Server 194 Citrix Presentation Server Clients 195 Client kann keine Verbindung herstellen 336 Deaktivieren 173 Double Hop DMZ 225 Einzelne DMZ 25 Gleichzeitig 18 Hardware 41 ICA 209 Kioskmodus 19 LDAP Zertifikate 93 Mit Secure Access Client und Citrix Presentation Server Clients 195 Nur ber Access Gateway 18 Schlie en 173 175 Serverfarm 30 Unsichere Verbindungen umleiten 21 Verarbeiten 174 Webadresse verwenden 152 Webinterface 18 Verbindungsprotokoll Secure Access Client 285 Verschl sselung 20 Asymmetrisch 293 ffentlicher Schl ssel 294 Verschl sselungssammlungen ausw hlen 180 Verschl sselung mit ffentlichem Schl ssel 294 Verschl sselungssammlungen 20 Beschreibung 292 Verweigern des Zugriffs ohne Zugriffssteuerungsliste 115 118 ere ie G 350 Citrix Access Gateway Standard Edition Administratorhandbuch Verzeichnisattribute LDAP 94 VMWare 3
191. echten Maustaste auf die Gruppe Default und klicken Sie auf Properties 204 Citrix Access Gateway Standard Edition Administratorhandbuch 4 Klicken Sie auf der Registerkarte Gateway Portal auf Redirect to Web Interface geben Sie den Standardpfad Citrix MetaFrame auth Login aspx ein und klicken Sie auf OK 5 Geben Sie im Webbrowser als Adresse des Access Gateways den vollquali fizierten Dom nennamen ein Das Format ist folgenderma en https vollqualifizierter Dom nenname 6 Geben Sie die Anmeldeinformationen ein 7 Falls auf der Registerkarte Global Cluster Policies die Option Enable logon page authentication aktiviert ist melden Sie sich an Darauf wird die Webinterface Seite angezeigt Wenn Single Sign On beim Webinterface eingestellt ist werden Benutzer auto matisch angemeldet und haben Zugriff auf ver ffentlichte Anwendungen Andernfalls melden sich Benutzer am Webinterface an und haben dann Zugriff auf ihre ver ffentlichten Anwendungen Informationen dazu wie Sie Verbindungen zum Webinterface testen k nnen finden Sie unter So berpr fen Sie die Webinterface Einstellungen auf Seite 212 berwachen des Access Gateways nach der Installation Da Benutzer von Secure Gateway zum Access Gateway verschoben werden muss die Leistung insbesondere in den ersten Tagen nach der Implementierung berwacht werden damit gew hrleistet ist dass es bei den Benutzern zu keinen Problemen kommt Die berwachung des
192. ecure Access Client ge ffnet wird k nnen Sie auch den Befehl net6vpn einge ben Hiermit rufen Sie eine Liste weiterer Befehlszeilenoptionen auf Wenn die Verbindung getrennt wird wird der VPN D mon u U gestoppt Der Secure Access Client ben tigt zum Herstellen einer Verbindung zum Access Gateway jedoch einen laufenden VPN D mon Wenn Sie den Status des VPN D mons pr fen m chten geben Sie an einer Eingabeaufforderung Folgendes ein sbin service net6vpnd status Zum Neustarten eines gestoppten D mons geben Sie Folgendes ein sbin service net6vpnd start So entfernen Sie den Linux VPN Client 1 Geben Sie an einer Eingabeaufforderung Folgendes ein sbin service net6vpnd stop sbin chkeonfig del net6vpnd rm rf etc net6vpn conf etc init d net6vpnd usr bin net6vpn usr sbin net6vpnd usr local net6vpn Konfigurieren des Netzwerkzugriffs Nachdem das Ger t f r den Betrieb in der Netzwerkumgebung konfiguriert wurde konfigurieren Sie den Netzwerkzugriff f r das Ger t sowie f r die Gruppen und Benutzer So konfigurieren Sie den Netzwerkzugriff Schritt 1 Konfigurieren der Netzwerke zu denen die Clients eine Verbindung aufbauen k nnen Standardm ig k nnen die Clients keine Verbindungen zu einem Netzwerk herstellen Als ersten Schritt beim Konfigurieren des Netzwerk zugriffs legen Sie auf der Registerkarte Global Cluster Policies die Netzwerke fest zu denen die Clients eine Verbindung herstellen sollen
193. eee eee 39 F r die Installation erforderliches Zubeh r und Informationen 39 Einrichten der Access Gateway Hardware 2 000 c cece cece een 41 Konfigurieren der TCP IP Einstellungen f r das Access Gateway 42 Konfigurieren der TCP IP Einstellungen mit dem seriellen Kabel 42 Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln 45 Konfigurieren der TCP IP Einstellungen fiir eine Double Hop Bereitstellung 48 Neustarten des Access Gateways 0 c cece cece eens 48 Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung Installieren von Lizenzen 0 eect E EE eens 49 Abrufen der Lizenzdateien 2 0 eect een eens 50 Konfigurieren von Lizenzen f r mehrere Gerate 000000 52 Informationen zu Lizenzen 0 eee eects 53 Aktualisieren vorhandener Lizenzen 0 0 c cee eee eens 54 Kulanzzeitraum f r die Lizenzierung 0 2 0 0 unanenn nnee 54 Testen der Lizenzinstallation o o 0 0 c cee cece eee eee eee 54 Erstellen und Installieren von Zertifikaten 0 0 0 c cee eee eee 55 bersicht ber Zertifikatsignieranforderungen 0000000 00 56 Erstellen einer Zertifikatsignieranforderung 0 cee ee eee eee 57 Installieren eines Zertifikats und eines privaten Schl ssels von einem Windows Computer Us 222222 ccc cence teen eens 60 Installieren von Stammzertifikaten auf dem Access Gateway
194. efindet der als Host f r das Administration Tool fungieren soll Bei der Bereitstellung einer Double Hop DMZ ist es u U leichter das Admini stration Tool in der zweiten DMZ auf dem gleichen Computer zu installieren der als Host f r das Webinterface fungiert oder auf einem anderen Computer der sich in der zweiten DMZ befindet Wenn Sie das Administration Tool in der zweiten DMZ installieren k nnen Sie s mtliche Access Gateways und Access Gateway Proxyger te in der Bereitstellung ber dieses Administration Tool verwalten Wenn Sie das Administration Tool auf dem Webinterface Computer oder einem anderen Computer in der zweiten DMZ installieren m chten ist Folgendes zu beachten ffnen Sie Ports 9001 und 9002 in der Firewall zwischen der ersten und der zweiten DMZ bevor Sie mit der Bereitstellung der Double Hop DMZ beginnen Diese Ports m ssen offen sein damit die zur Installation des Administration Tools auf einem Computer in der zweiten DMZ erforder lichen Verbindungen hergestellt werden k nnen Installieren Sie das Administration Tool zur gleichen Zeit wie Sie das erste Access Gateway in der ersten DMZ installieren N here Anweisungen zum Installieren des Administration Tools finden Sie unter Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln auf Seite 45 Beim Installieren weiterer Access Gateway Ger te in der ersten und zweiten DMZ bei der Bereitstellung einer Double Hop DMZ verwenden Sie die
195. egisterkarte Authentication gt Security Ticket Authority aufgef hrt Hinweis Sie k nnen der Liste mehrere Server hinzuf gen auf denen die Secure Ticket Authority ausgef hrt wird Die Liste der Server muss den Servern entsprechen die f r das Webinterface konfiguriert sind Schritt 3 Installieren Sie zur Sicherung der Clientverbindungen ein Server zertifikat auf dem Access Gateway Konfigurieren Sie zum Verwenden aufl sbarer Namen f r die Secure Ticket Authority und das Webinterface Ihre DNS Server Weitere Informationen hierzu finden Sie unter Konfigurieren von Namensdienstanbietern auf Seite 62 Schritt 4 Konfigurieren Sie die Einstellungen f r den Benutzerzugriff im Webinterface Weitere Informationen hierzu finden Sie unter Einrichten und Testen des Webinterface auf Seite 209 Schritt 5 Entfernen Sie das Webinterface aus der DMZ und platzieren Sie es im sicheren Netzwerk Der Server auf dem Secure Gateway ausgef hrt wird kann au er Betrieb genommen und f r einen anderen Zweck verwendet werden So testen Sie Benutzerverbindungen mit dem Access Gateway l Klicken Sie auf der Registerkarte Access Policy Manager mit der rechten Maustaste auf den Ordner Local Users und klicken Sie auf New User 2 Geben Sie im Dialogfeld User Name in das Feld User Name einen Benutzernamen ein und in das Feld Password und Verify Password das entsprechende Kennwort und klicken Sie auf OK 3 Klicken Sie mit der r
196. eh ren kombiniert und dann auf die Benutzer angewendet Sofern nicht alle Benutzer vollen Zugriff auf alle zug nglichen Netzwerke haben sollen m ssen Sie die Benutzergruppen mit Ressourcengruppen verkn pfen 124 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Benutzern die mehreren Gruppen angehoren Wenn ein Benutzer Mitglied mehrerer Gruppen ist werden einige Gruppenein stellungen zusammengefasst Dabei handelt es sich um folgende Einstellungen Network Resources Application Policies Kiosk Resources End Point Policies Fir die zusammengefassten Einstellungen gelten folgende Ausnahmen Deny applications without policies Wenn f r eine der Gruppen zu denen ein Benutzer geh rt die Option Deny applications without policies aktiviert ist gilt diese Einstellung auch fiir den Benutzer Enable IP pools Die Benutzer tibernehmen die IP Adresse von der Gruppe mit der h chsten Prioritat fiir die IP Pools aktiviert sind Inherit properties from the Default Group Wenn f r eine der Gruppen zu denen ein Benutzer geh rt die Option Inherit properties from the Default Group aktiviert ist erbt der Benutzer die Einstellungen der Standardgruppe Die Einstellungen die nicht zusammengefasst werden richten sich nach der Gruppenpriorit t Dazu geh ren folgende Einstellungen Authenticate after network interruption Authenticate upon system resume Enable single sign on with Windows Run logon
197. ehalten Sie k nnen alternativ dazu auch einen anderen Bereich f r die lokale Authentifizierung erstellen und den Bereich Default dann f r einen anderen Authentifizierungstyp verwenden Informationen hierzu finden Sie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 81 Wenn sich alle Benutzer unter Verwendung von Authentifizierungsservern authentifizieren wird kein Bereich f r die lokale Authentifizierung ben tigt Das Access Gateway kann die lokale Benutzerdatenbank auf dem Ger t nach Authen tifizierungsinformationen berpr fen wenn die Authentifizierung eines Benutzers auf einem anderen Authentifizierungsserver fehlschl gt Wenn Sie z B LDAP verwenden und die Authentifizierung fehlschl gt k nnen sich die Benutzer mit der lokalen Benutzerdatenbank anmelden 84 Citrix Access Gateway Standard Edition Administratorhandbuch So stellen Sie die Authentifizierung mit der lokalen Benutzerliste auf dem Access Gateway ein 1 ffnen Sie auf der Registerkarte Authentication den Authentifizierungs bereich in dem Sie lokale Authentifizierung konfigurieren m chten 2 Klicken Sie auf die Registerkarte Settings 3 Aktivieren Sie die Option Use the local user database on the Access Gateway 4 Klicken Sie auf Submit Hinweis Dieses Kontrollk stchen steht nicht zur Verf gung wenn der Bereich f r lokale Authentifizierung konfiguriert ist Konfigurieren lokaler Benutzer
198. ehen Benutzer k nnen in Gruppen auf das Access Gateway migriert werden wodurch eine Ausfallzeit der Verbin dungen vermieden wird Die Durchf hrung einer Parallel Migration entspricht einer Neuinstallation des Access Gateways Bei dieser M glichkeit wird das Secure Gateway solange parallel zum Access Gateway ausgef hrt bis s mtliche Benutzer erfolgreich in die neue Umgebung migriert wurden Bei dieser Variante m ssen Sie ein neues Serverzertifikat erwerben oder generieren Dadurch wird jedoch sichergestellt dass es f r die Benutzer zu keinen Zugriffsunterbrechungen auf Unternehmens ressourcen kommt F hren Sie f r eine Parallel Migration auf das Access Gateway folgende Schritte aus Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 203 Schritt 1 Installieren Sie das Access Gateway wie unter Erstmalige Installa tion des Access Gateways auf Seite 39 beschrieben In diesem Schritt werden die grundlegenden TCP IP Einstellungen f r das Access Gateway konfiguriert Schritt 2 Konfigurieren Sie die Einstellungen f r die Secure Ticket Authority auf dem Access Gateway mit dem Administration Tool um eine Verbindung zu Ressourcen auf Computern auf denen Citrix Presentation Server ausgef hrt wird herzustellen Weitere Informationen hierzu finden Sie unter Konfigurieren der Secure Ticket Authority auf Seite 212 Wenn die Secure Ticket Authority konfiguriert ist wird sie im Administration Tool auf der R
199. ei der Konfiguration des SafeWord Servers ben tigen Sie folgende Informationen IP Adresse des Access Gateways Diese sollte mit der in der Clientkonfigu ration des RADIUS Servers konfigurierten Adresse bereinstimmen Gemeinsamer geheimer Schl ssel Dieser geheime Schl ssel ist auch auf der Registerkarte Authentication auf dem Access Gateway konfiguriert IP Adresse und Port des SafeWord Servers Konfigurieren Sie einen SafeWord Bereich zum Authentifizieren der Benutzer Das Access Gateway agiert als SafeWord Agent der im Namen der Benutzer authentifiziert wird die sich mit dem Secure Access Client angemeldet haben Wenn ein Benutzer sich nicht auf dem SafeWord Server befindet oder wenn die Authentifizierung fehlschl gt berpr ft das Access Gateway den Benutzer anhand der lokalen Benutzerliste sofern die Option Use the local user database on the Access Gateway auf der Registerkarte Settings aktiviert ist Wenn SafeWord als Bereich Default verwendet werden soll entfernen Sie den aktuellen Bereich Default und erstellen Sie sofort einen neuen Bereich wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 81 beschrieben So konfigurieren Sie SafeWord auf dem Access Gateway 1 Klicken Sie im Administration Tool auf die Registerkarte Authentication 2 Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen ein 3 W hlen Sie One Source und klicken Sie dann a
200. ei hochladen m chten muss die alte Lizenz entfernt werden So installieren Sie eine neue Lizenzdatei auf dem Access Gateway l Wahlen Sie auf der Registerkarte Access Gateway Cluster das Access Gateway aus dem Sie die Lizenz hinzuf gen m chten 2 Klicken Sie auf der Registerkarte Licensing neben Remove all license files auf Remove All 3 Starten Sie das Access Gateway neu 4 Klicken Sie auf der Registerkarte Licensing neben Install a license file auf Browse und navigieren Sie zur Lizenzdatei 5 Klicken Sie auf Offnen um die Datei zu installieren 6 Starten Sie das Access Gateway neu Definieren von Subnetzeinschrankungen fur Zugangliche Netzwerke Im Feld Accessible Networks auf der Registerkarte Global Cluster Policies k nnen bis zu 24 Subnetze definiert werden Wenn mehr als 24 Subnetze angege ben werden ignoriert das Access Gateway die berz hligen Eintr ge VMWare Wenn ein Benutzer sich auf dem Secure Access Client von zwei Computern aus anmeldet auf denen VMWare ausgef hrt wird und VMWare f r beide Computer dieselbe MAC Adresse verwendet l sst das Access Gateway nicht zu dass beide Clients gleichzeitig ausgef hrt werden Das Access Gateway verwendet die MAC Adresse zum Verwalten der Lizenzen und l sst immer nur eine Client sitzung pro MAC Adresse gleichzeitig zu 334 Citrix Access Gateway Standard Edition Administratorhandbuch ICMP Ubertragungen Wenn eine ICMP Ubertragung aus irgende
201. einformationen anmel den was den Support f r den Benutzer auf ein Minimum reduziert Durchf hren einer In Place Migration Wenn Sie sich f r die In Place Migration von Secure Gateway auf das Access Gateway entschieden haben exportieren Sie das Secure Gateway Zertifikat und laden Sie es auf das Access Gateway hoch Das Zertifikat muss im PEM Format vorliegen bevor es auf dem Access Gateway installiert werden kann Weitere Informationen zum Konvertieren eines Zertifikats in ein PEM Format mit Win32 OpenSSL finden Sie unter Verwenden von Windows Zertifikaten auf Seite 301 Falls Sie mit dem Konvertieren von Zertifikaten nicht vertraut sind empfiehlt Citrix die Neuinstallation des Access Gateways mit einem neuen Zertifikat Wichtig Wenn Sie das Zertifikat von Secure Gateway auf das Access Gateway bertragen muss der vollqualifizierte Dom nenname des Access Gateways mit dem des Secure Gateways tibereinstimmen Mit dieser Option ist keine stufenweise Vorgehensweise m glich da sich nicht zwei identische vollqualifizierte Dom nennamen im selben Netzwerk befinden d rfen 202 Citrix Access Gateway Standard Edition Administratorhandbuch Mit Ausnahme folgender Elemente entspricht eine In Place Migration einer Neuinstallation Auf dem Access Gateway wird ein PEM formatiertes Secure Gateway Zertifikat verwendet Der vollqualifizierte Dom nenname auf dem Access Gateway wird so ver ndert dass er mit dem von
202. em Applications oder Users aus e Um nach Priorit t zu filtern w hlen Sie im Bereich Log Filters entweder Low Medium High oder Critical aus Die ausgew hlten Filter werden als logisches ODER behandelt Das bedeutet dass f r jeden ausgew hlten Filter s mtliche bereinstim menden Eintr ge angezeigt werden So laden Sie ein Protokoll herunter W hlen Sie in der Liste Log Archive ein Protokoll aus und klicken Sie neben Selected Log File auf Download Der Protokolldateiname hat standardm ig folgendes Format JJJJMMTT log Wenn Sie alle Protokolle herunterladen m chten klicken Sie neben All Log Files auf Download Der Dateiname lautet dann standard m ig wie folgt log_archive_JJJJMMTT tgz Zum Herunterladen von Protokollen vom Access Gateway muss auf Ihrem Computer ein Datenkomprimierungsprogramm z B WinZip installiert sein Die Protokolle werden als tgz Datei heruntergeladen und m ssen dann Anhang A Uberwachen des Access Gateways 285 extrahiert werden Nach dem Herunterladen einer Datei k nnen Sie deren Inhalt extrahieren und so auf die einzelnen Protokolldateien zugreifen Anzeigen von Secure Access Client Verbindungsprotokollen Das Secure Access Verbindungsprotokoll enth lt Echtzeitinformationen zu Ver bindungen Diese Informationen sind besonders f r die Fehlersuche bei Verbin dungsproblemen des Secure Access Clients wichtig Sie k nnen ber das Secure Access Client Symbol vom Clientger t
203. em und Internet Explorer unterst tzen bereits die meisten vertrauensw rdigen Stammzertifizierungsstellen Bei diesen Zertifizie rungsstellen ist es also nicht n tig Stammzertifikate abzurufen und auf dem Clientger t zu installieren Wenn Sie jedoch eine andere Zertifizierungsstelle ver wenden m ssen Sie die entsprechenden Stammzertifikate selbst abrufen und installieren Abrufen eines Stammzertifikats von einer Zertifizierungsstelle Stammzertifikate sind bei denselben Zertifizierungsstellen erh ltlich wie Server zertifikate Bekannte und vertrauensw rdige Zertifizierungsstellen sind beispiels weise Verisign Baltimore Entrust und die jeweils angeschlossenen Unternehmen Bei den Zertifizierungsstellen wird in der Regel vorausgesetzt dass Sie bereits ber geeignete Stammzertifikate verf gen Die meisten Webbrowser enthalten Stammzertifikate Wenn Sie jedoch Zertifikate von einer Zertifizierungsstelle heranziehen die auf dem Clientcomputer noch nicht genutzt wird m ssen Sie das Stammzertifikat explizit anfordern Es stehen mehrere Arten von Stammzertifikaten zur Auswahl VeriSign bietet beispielsweise rund 12 Stammzertifikate f r verschiedene Zwecke an Achten Sie also darauf das jeweils richtige Stammzertifikat bei der Zertifizierungsstelle abzurufen Installieren von Stammzertifikaten auf einem Clientger t Stammzertifikate werden mit der Microsoft Management Console MMC unter Windows installiert Hierbei kommt der
204. en Separator muss angegeben werden wenn in der RADIUS Konfiguration mehrere Benutzergruppen enthalten sind Als Trennzeichen kann ein Leerzeichen ein Punkt ein Semikolon oder ein Doppelpunkt verwendet werden Wenn der IAS nicht auf dem RADIUS Server installiert ist k nnen Sie ihn ber Software in der Systemsteuerung installieren Weitere Informationen finden Sie in der Windows Onlinehilfe Zum Konfigurieren des IAS installieren Sie das Snap In f r IAS ber die Micro soft Management Console MMC F hren Sie den Installationsassistenten aus und w hlen Sie dabei die folgenden Einstellungen W hlen Sie Lokalen Computer W hlen Sie RAS Richtlinien und erstellen Sie eine benutzerdefinierte Richtlinie W hlen Sie f r die Richtlinie Windows Groups W hlen Sie Verschl sselte Authentifizierung CHAP und Unverschl sselte Authentifizierung PAP SPAP W hlen Sie nicht MS CHAP v2 und MS CHAP Wahlen Sie als Attributnamen Vendor Specife aus Access Gateway ben tigt das herstellerspezifische Attribut um die in der Gruppe auf dem Server definierten Benutzer mit den Benutzern auf dem Access Gateway abzugleichen Dies erfolgt durch Senden der hersteller spezifischen Attribute an das Access Gateway Als Hersteller muss RADIUS Standard ausgew hlt werden Der RADIUS Standardwert ist 0 Verwenden Sie diesen Wert f r den Herstellercode Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 97 Die vom Herstel
205. en Clientzugriff verwalten gt DMZ Einstellungen bearbeiten W hlen Sie unter Clientadresstabelle den Eintrag Standard aus und klicken Sie dann auf Bearbeiten W hlen Sie im Feld Zugriffsmethode die Option Gateway direkt aus und klicken Sie zweimal auf OK Klicken Sie mit der rechten Maustaste auf die Webinterface Site und w hlen Sie Sicheren Clientzugriff verwalten gt Gateway Einstellungen bearbeiten Geben Sie unter Gateway Server im Feld Adresse FQDN den vollquali fizierten Dom nennamen des Access Gateways ein Dieser muss mit dem im Access Gateway Zertifikat verwendeten Namen identisch sein Geben Sie im Feld Port die Portnummer ein Der Standardwert ist 443 Klicken Sie zum Aktivieren der Sitzungszuverl ssigkeit auf Sitzungszuverl ssigkeit aktivieren Klicken Sie unter Secure Ticket Authorities auf Hinzuf gen 212 Citrix Access Gateway Standard Edition Administratorhandbuch 11 Geben Sie im Feld Secure Ticket Authority URL den Namen des Computers ein auf dem Presentation Server ausgef hrt wird und klicken Sie auf OK Hinweis Nach Abschluss dieser Schritte k nnen nur ICA Verbindungen ber das Access Gateway gestartet werden Richten Sie f r interne Benutzer eine neue Site ein oder konfigurieren Sie Netzwerkregeln damit die Site sowohl interne als auch externe Benutzer verarbeiten kann Weitere Informationen hierzu finden Sie im Webinterface Administratorhandbuch Vergewissern Sie sich nach de
206. en LDAP Verzeichnis aufgef hrt sind erstellt der Administrator einen separaten Authentifizierungsbereich f r sie der Folgendes unterst tzt Lokale Authentifizierung Diese Option in einem Authentifizierungs bereich gew hrleistet dass Benutzer anhand einer Liste Local Users auf dem Access Gateway und nicht auf Basis eines externen Verzeichnisses authentifiziert werden Keine Autorisierung Diese Option in einem Authentifizierungsbereich gew hrleistet dass Benutzern dieses Bereichs die mit der Benutzergruppe Default auf dem Access Gateway verkn pften Zugriffsrechte gew hrt werden So erstellen Sie einen Authentifizierungsbereich f r die Gastbenutzer 1 Klicken Sie im Access Gateway Administration Tool auf die Registerkarte Authentication 2 Geben Sie im Feld Realm name den Namen Gast ein 3 Wahlen Sie One Source und klicken Sie auf Add 4 Aktivieren Sie im Dialogfeld Select Authentication Type die Option Local authentication only und klicken Sie dann auf OK 5 Aktivieren Sie auf der Registerkarte Authorization die Option No authorization 6 Klicken Sie auf Submit 328 Access Gateway Standard Edition Administratorhandbuch Erstellen lokaler Benutzer Das Erstellen von lokalen Benutzern ist der zweite von drei Arbeitsschritten die der Administrator beim Szenario fiir das Erstellen von Gastkonten mit der Liste Local Users ausf hrt Bei diesem Arbeitsschritt erstellt der Administrator lokale Benutzerko
207. en Netzwerk zugreifen weil nur diese Netzwerkressource f r die Benutzergruppe Default definiert ist Szenario f r das Konfigurieren der lokalen Autorisierung f r lokale Benutzer Durch geringf giges ndern der unter Szenario f r das Erstellen von Gastkonten mit der Liste Local Users beschriebenen Konfiguration kann der Administrator lokalen Benutzern Lisa Marth und Silvio Branco die gleichen Zugriffsrechte auf die internen Netzwerkressourcen gew hren wie den Benutzern aus den Bereichen Vertrieb oder Technik In diesem Szenario wird das Konzept der lokalen Autorisierung f r lokale Benutzer erl utert 330 Access Gateway Standard Edition Administratorhandbuch Beispiel Der Administrator m chte Lisa Marth und Silvio Branco die gleichen Zugriffsrechte gew hren wie den Benutzern aus dem Bereich Technik Zu diesem Zweck k nnte der Administrator zwei Arbeitsschritte ausf hren ndern des Autorisierungstyps des Bereichs Gast in lokale Autorisierung e Zuweisen der lokalen Benutzer Lisa Marth und Silvio Branco zur Gruppe Au endiensttechniker auf dem Access Gateway Um die lokalen Benutzer Lisa Marth und Silvio Branco der Gruppe Au endiensttechniker auf dem Access Gateway zuzuweisen geht der Administrator wie folgt vor l Klicken Sie auf die Registerkarte Access Policy Manager 2 Erweitern Sie den Eintrag User Groups und dann den Eintrag Local Users 3 Klicken Sie unter Local Users auf den Namen
208. en Sie Prompt to upgrade earlier versions of the Secure Access Client 3 Klicken Sie auf Submit 152 Citrix Access Gateway Standard Edition Administratorhandbuch Herstellen einer Verbindung mit einer Webadresse Wenn Benutzer eine Verbindung tiber eine Webseite herstellen werden sie entweder aufgefordert sich anzumelden oder sie werden direkt an eine Portal seite weitergeleitet auf der sie die Verbindung tiber den Secure Access Client herstellen k nnen Ist der Access Gateway so konfiguriert dass die Benutzer sich anmelden m ssen bevor sie eine Verbindung ber den Secure Access Client herstellen k nnen geben sie zur Anmeldung ihren Benutzernamen und ihr Kennwort ein Eine Portalseite wird ge ffnet auf der Benutzer sich wahlweise ber den kompletten Secure Access Client oder auch im Kioskmodus sofern aktiviert anmelden Wenn ein Benutzer sich ber den Secure Access Client anmeldet bietet die Verbindung uneingeschr nkten Zugriff auf die Netzwerkressourcen auf die die Gruppen denen der Benutzer angeh rt zugreifen d rfen Der entsprechend den Sicherheitsrichtlinien gew hrte Zugriff versetzt die Benut zer in die Lage mit dem Remotesystem genau so zu arbeiten als w ren sie lokal angemeldet So kann den Benutzern z B der Zugriff auf Webanwendungen Client Server und Peer to Peer Anwendungen wie Instant Messaging Video conferencing und Echtzeit VoIP Anwendungen gew hrt werden Die Benutzer k nnen auch Net
209. en a nn ee bebe E goesal toned Anne echoed A 20 Kapitel 3 Planen der Bereitstellung Bereitstellen des Access Gateways 0 ce ccc cect ttn e nen 23 Access Gateway in der DMZ des Netzwerks 1 2 0 0 00 000 c cece eee eee 24 Installieren des Access Gateways in der DMZ 000 cee eee 25 Access Gateway Konnektivit t in der DMZ 0 0 0 2 eee eee eee 25 Access Gateway in einem sicheren Netzwerk 0 00 cece eee eee 26 Access Gateway Konnektivit t in einem sicheren Netzwerk 26 berlegungen zur Sicherheit sr a rn Erlen 27 Konfigurieren der sicheren Zertifikatverwaltung 222 2 27 Unterst tzung bei der Authentifizierung 2 0 cece eee eee 28 Bereitstellen des Gateways mit Citrix Presentation Server 28 Bereitstellen des Gateways in der DMZ mit Citrix Presentation Server 29 Bereitstellen des Access Gateways in einer Double Hop DMZ 33 Bereitstellen weiterer Ger te f r Lastausgleich und Failover 35 Bereitstellen von Access Gateway Ger ten hinter einem Load Balancer 36 4 Citrix Access Gateway Standard Edition Administratorhandbuch Bereitstellen von Access Gateway Advanced Edition 0005 37 Mehrere Server in einer Access Serverfarm 0 00 cee cece eens 38 Kapitel 4 Erstmalige Installation des Access Gateways Vorbereitung der Installation des Access Gateways 00 eee
210. en ein die an Ihr LDAP Verzeichnis gerichtet sind Die Syntax f r den Bind DN kann z B wie folgt aussehen Dom ne Benutzername ou Administrator dc ace dce com Benutzer Dom ne Name f r Active Directory en Administrator cn Users dce ace de com F r Active Directory muss der Gruppenname wie folgt angegeben werden cn Gruppenname Der auf dem Access Gateway definierte Gruppenname muss identisch mit dem auf dem LDAP Server definierten Gruppennamen sein Bei anderen LDAP Verzeichnissen ist der Gruppenname entweder nicht erforderlich oder er muss sofern er doch n tig ist in folgender Form angegeben werden ou Gruppenname Das Access Gateway registriert sich mit den Administratoranmeldeinfor mationen beim LDAP Server und sucht dann nach dem Benutzer Wenn der Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 93 Benutzer gefunden ist hebt das Access Gateway die Registrierung mit den Administratoranmeldeinformationen auf und registriert sich mit den Benut zeranmeldeinformationen erneut JA Geben Sie unter Administrator Password das Kennwort ein 8 Geben Sie unter Base DN location of users den Basis DN f r die Benutzer ein Der Basis DN wird normalerweise vom Bind DN abgeleitet indem der Benutzername entfernt und die Gruppe angegeben wird in der sich die Benutzer befinden Die Syntax f r den Basis DN kann z B wie folgt aussehen ou Users dc ace dc com cn Users dc ace dc com
211. en verweigert und der Netzwerkzugriff f r die Benutzergruppe wird ausschlie lich ber deren Zugriffssteuerungsliste gesteuert Wenn eine Ressourcengruppe eine Ressource enth lt auf die eine Benut zergruppe keinen Zugriff haben soll k nnen Sie eine separate Ressourcen gruppe nur f r diese Ressource erstellen und der Benutzergruppe den Zugriff auf diese spezifische Ressource verweigern 116 Citrix Access Gateway Standard Edition Administratorhandbuch Die folgende Tabelle enth lt eine Zusammenfassung der soeben beschriebenen Optionen ACL vorhanden Zugriff F r die Benutzergruppe f r Benutzer verweigern ohne zug ngliche Ressourcen gruppen ACL Nein Nein Beliebiges Netzwerk auf das das Access Gateway zugreifen kann Ja Nein erlaubte Ressourcengruppen Nein Ja Kein Zugriff auf das Netzwerk Ja Ja erlaubte Ressourcengruppen Bei der Konfiguration des Netzwerkzugriffs muss die strengste Richtlinie als erste und die schw chste Richtlinie als letzte konfiguriert werden Beispiel Sie m chten Zugriff auf alle Ressourcen im Netzwerk 10 0 x x gew hren aber Zugriff auf Netzwerk 10 0 20 x verweigern Konfigurieren Sie als erstes Zugriff auf das Netzwerk 10 0 20 x und dann auf das Netzwerk 10 0 x x Aktivieren von Split Tunneling und zug nglichen Netzwerken Auf der Registerkarte Global Cluster Policies k nnen Sie Split Tunneling akti vieren um zu verhindern dass der Secure Access Clie
212. en zu Lizenzen Auf der Registerkarte Licensing finden Sie Informationen zu den Lizenzen die auf dem Access Gateway installiert sind Unter anderem Gesamtanzahl der verf gbaren Lizenzen e Anzahl der derzeit verwendeten Lizenzen Subscription Advantage Enddatum Ausgabedatum der Lizenzen Ablaufdatum der Lizenzen Seriennummer der Lizenzen Art der Lizenzen Falls zwei Lizenzen mit derselben Seriennummer installiert sind werden diese Dateien nicht einzeln gerechnet Das Ger t das als Lizenzserver fungiert w hlt eine der Lizenzdateien aus und weist den Benutzern die entsprechenden Lizenzen zu Dar ber hinaus k nnen Sie Lizenzprotokolle mit ausf hrlichen Informationen zur Lizenznutzung finden Die Protokolle befinden sich nach dem Herunterladen in einer komprimierten Datei mit der Bezeichnung license_logs zip So laden Sie Lizenzprotokolle herunter 1 Klicken Sie auf der Registerkarte Access Gateway Cluster auf die Registerkarte Licensing 2 Klicken Sie unter Information about this Access Gateway neben Download licensing logs auf Download All 3 Legen Sie den Ordner fest in den die Dateien heruntergeladen werden sollen und klicken Sie auf Speichern 54 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn Sie Anderungen an der Lizenzierung auf dem Access Gateway vornehmen k nnen Sie die Angaben auf der Registerkarte Licensing aktualisieren So aktualisieren Sie die Lizenzierungsinfo
213. endienst auf der Registerkarte Access Policy Manager im Administration Tool verkn pft sind Bevor der Administrator den Benutzern aus den Abteilungen Vertrieb und Technik den Zugriff auf interne Netzwerkressourcen ber das Access Gateway gew hren kann muss er also wissen welchen LDAP Verzeichnisgruppen diese Benutzer angeh ren Jetzt muss der Administrator in diesem Szenario einen der beiden Schritte in Bezug auf die Gruppenmitgliedschaft der Benutzer ausf hren Er muss die Gruppen im LDAP Verzeichnis identifizieren die s mtliche Mitglieder enthalten f r die Remotezugriff auf die internen Netzwerke erforderlich ist Wenn keine Gruppe vorhanden ist die alle betreffenden Mitglieder enth lt kann der Administrator neue Gruppen im LDAP Verzeichnis erstellen und die betreffenden Mitglieder diesen Gruppen hinzuf gen In diesem Beispiel wird davon ausgegangen dass der Administrator Gruppen namens Vertriebsau endienst und Au endiensttechniker im LDAP Verzeichnis erstellt und diesen Gruppen Benutzer aus den Abteilungen Vertrieb und Technik hinzuf gt die Remotezugriff auf die internen Netzwerkressourcen haben sollen Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 313 Sammeln der LDAP Verzeichnisinformationen Zum Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisie rung muss der Administrator als letzten Schritt die LDAP Verzeichnisinformatio nen sammeln In diesem Beispiel
214. endungen Da Secure Gateway nur Presentation Server Verkehr unter st tzt setzen Organisationen die Secure Gateway verwenden m glicherweise noch eine zus tzliche L sung f r den Remotezugriff auf andere Arten von Unter nehmensressourcen ein wodurch zus tzliche Ausgaben und Gemeinkosten ent stehen Das Access Gateway kann alle Anspr che Ihrer Organisation f r den Remotezugriff erf llen indem es sowohl den Verkehr zu auf Presentation Server gehosteten Anwendungen als auch den Zugriff auf Unternehmensressourcen wie E Mail internen Webanwendungen sowie Netzfreigaben sichert Sowohl das Access Gateway als auch Secure Gateway unterst tzen Verbindungen zwischen Presentation Server Clients und ver ffentlichten Anwendungen in Single und Double Hop DMZ Bereitstellungen Hinweis Wenn das Access Gateway in einer Double Hop DMZ bereitgestellt wird werden nur Verbindungen zwischen Presentation Server Clients und ver ffentlichten Anwendungen sowie HTTP Verbindungen zu Access Gateway Advanced Edition unterst tzt In diesem Szenario unterst tzt das Access Gateway keine Verbindungen zu zus tzlichen Unternehmensressourcen ber den Secure Access Client Weitere Informationen zur Bereitstellung des Access Gateways in einer Double Hop DMZ finden Sie unter Bereitstellen des Access Gateways in einer Double Hop DMZ auf Seite 223 und im Administratorhandbuch f r Citrix Access Gateway Advanced Edition Die folgende Abbildung zeigen eine S
215. ennwort eines Benutzers ndern So ndern Sie das Kennwort eines Benutzers l Klicken Sie auf der Registerkarte Access Policy Manager mit der rechten Maustaste auf einen Benutzer und klicken Sie dann auf Set Password 2 Geben Sie das Kennwort zweimal ein und klicken Sie dann auf OK 86 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von LDAP Authentifizierung und Autorisierung Sie k nnen das Access Gateway f r die Authentifizierung des Benutzerzugriffs mit einem oder mehreren LDAP Servern konfigurieren Wenn ein Benutzer sich nicht in einem LDAP Verzeichnis befindet oder wenn die Authentifizierung bei einem Server fehlschlagt tiberpriift das Access Gateway die Anmeldeinformatio nen des Benutzers anhand der lokal im Access Gateway gespeicherten Benutzer informationen F r die LDAP Autorisierung m ssen die Gruppennamen in Active Directory auf dem LDAP Server und auf dem Access Gateway tibereinstimmen inklusive Leerzeichen und Gro Kleinschreibung Die LDAP Authentifizierung wird standardm ig mit SSL TLS gesichert Es gibt zwei Arten sicherer LDAP Verbindungen Bei der einen Art nimmt der LDAP Server die SSL TLS Verbindung auf einem anderen als dem Port an der zur Annahme unverschl sselter LDAP Verbindungen verwendet wird Wenn ein Client die SSL TLS Verbindung herstellt kann der LDAP Verkehr ber diese Verbindung gesendet werden Bei der zweiten Art sind sowohl unsichere als auch
216. ent Wenn das Webinterface f r die Authentifizierung oder den Zugriff auf Ressour cen in der Serverfarm konfiguriert ist kann es im sicheren Netzwerk imple mentiert werden Falls das Webinterface hinter dem Access Gateway ausgef hrt wird empfiehlt Citrix die Authentifizierung auf dem Access Gateway zu konfi gurieren Wichtig Wenn sich das Webinterface im sicheren Netzwerk befindet muss die Anmeldeseitenauthentifizierung auf dem Access Gateway aktiviert sein Wenn die Anmeldeseitenauthentifizierung deaktiviert ist werden nicht authentifizierte HTTP Anforderungen direkt an den Server gesendet auf dem das Webinterface ausgef hrt wird Die Deaktivierung der Anmeldeseitenauthentifizierung wird nur empfohlen wenn sich das Webinterface in der DMZ befindet und Benutzer eine direkte Verbindung zum Webinterface herstellen Weitere Informationen zum Bereitstellen des Webinterface mit dem Access Gateway finden Sie unter Konfigurieren des Webinterface auf Seite 204 Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 197 Ersetzen von Secure Gateway Wenn Sie derzeit Secure Gateway verwenden um Remotezugriff auf Server zuzulassen auf denen Citrix Presentation Server ausgef hrt wird k nnen Sie Secure Gateway durch das Access Gateway ersetzen Einer der Vorteile die Secure Gateway Software durch das hardwarebasierte Access Gateway Ger t zu ersetzen ist unter anderem die Unterst tzung zus tz licher Anw
217. ent erm glicht es dem Benutzer eine Telnet 3270 Verbindung zu einem Remotecomputer einzurichten So verwenden Sie den Telnet 3270 Emulator Client 1 W hlen Sie auf der Portalseite die Option ffentlicher Computer und melden Sie sich an 2 Klicken Sie im Webbrowser auf das Telnet 3270 Emulator Symbol Das x3270 Fenster wird ge ffnet 3 Wahlen Sie im Men Connect den Befehl Other Das Fenster x3270 Connect wird ge ffnet 4 Geben Sie den Hostnamen oder die IP Adresse ein und klicken Sie auf Connect um sich anzumelden und eine Eingabeaufforderung zu erhalten 5 Klicken Sie zum Anzeigen des 3270 Tastenfelds auf das Tastenfeldsymbol in der oberen rechten Ecke VNC Client Der VNC Client erm glicht Benutzern den Remotezugriff auf den Desktop eines VNC Servers Die Arbeit des Benutzers verbleibt auf dem Remoteserver d h es werden keine Dateien sondern nur Bilder an den Computer des Benutzers gesendet 164 Citrix Access Gateway Standard Edition Administratorhandbuch So verwenden Sie den VNC Client l W hlen Sie auf der Portalseite die Option ffentlicher Computer und melden Sie sich an Klicken Sie im Webbrowser auf das VNC Symbol Geben Sie in das Feld VNC Host die IP Adresse des VNC Hosts und in das Feld Password das Kennwort f r den Server ein Klicken Sie auf Verbinden In einem Fenster auf Ihrem Computer wird der Desktop des VNC Servers angezeigt Arbeiten Sie mit dem Remoteserver so als w re
218. entcomputer wird der gesamte verbindungsspezifische Verkehr wie SYN ACK PUSH ACK und FIN Pakete vom Secure Access Client neu erstellt damit es so aussieht als k me er vom privaten Server Funktionsweise bei Verwendung von Firewalls und Proxyservern Unter Umst nden befinden sich Benutzer des Secure Access Clients innerhalb der Firewall einer anderen Organisation wie in der folgenden Abbildung dargestellt en Ne se Dateiserver gt g A ges PP ic x a a u x x Remotecomputer hat Internet Access Gateway E Mail Server eine IP Adresse in diesem Netzwerk Web oder Anwendungsserver Remoteclientverbindung durch zwei Unternehmensfirewalls 144 Citrix Access Gateway Standard Edition Administratorhandbuch NAT Firewalls verf gen ber eine Tabelle mit deren Hilfe sie sichere Pakete vom Access Gateway zum Clientcomputer zur cksenden k nnen F r schaltungs orientierte Verbindungen unterh lt das Access Gateway eine portzugeordnete Reverse NAT bersetzungstabelle Die Reverse NAT bersetzungstabelle ver setzt das Access Gateway in die Lage Verbindungen zuzuordnen und Pakete mit den richtigen Portnummern ber den Tunnel zur ck an den Client zu senden sodass die Pakete zur korrekten Anwendung zur ckkehren Bei der Herstellung des Access Gateway Tunnels kommen als Industriestandard anerkannte Verbindungsherstellungsmethoden wie HTTPS Proxy HTTPS und SOCKS zum Einsatz Auf diese Weise
219. entscheiden ob die Anmeldeseitenauthentifizierung auf dem den Access Gateway Ger t en in der ersten DMZ aktiviert oder deaktiviert werden soll ber die Konfiguration der Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ wird gesteuert wie Benutzer authentifiziert werden Au erdem wirkt sich dies auch auf andere Sicherheitskonfigurationen in der Umgebung aus Wenn Sie vor dem Starten der Bereitstellung verstehen wie sich die Anmeldeseitenauthentifizierung auswirkt k nnen Sie Probleme mit Sicher heitskonfigurationen in Ihrer Umgebung bei der tats chlichen Bereitstellung vermeiden Die Aktivierung der Anmeldeseitenauthentifizierung erh ht die Sicherheit setzt aber auch voraus dass Sie auf dem Access Gateway in der ersten DMZ einen Authentifizierungsbereich erstellen und die Funktion f r das Single Sign On am Webinterface aktivieren Die Deaktivierung der Anmeldeseitenauthentifizierung ist zwar leichter zu konfigurieren bietet jedoch geringere Sicherheit Diese Optionen werden nachstehend jeweils n her erl utert Aktivieren der Anmeldeseitenauthentifizierung Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ aktivieren wird eine Benutzerverbindung sowohl vom Access Gateway als auch vom XML Dienst auf einem Computer authentifiziert auf dem Citrix Presentation Server ausgef hrt wird Die Aktivierung der Anmeldeseiten authentifizierung erh ht die Sicherheit weil
220. enut zername und MAC Adresse geordnet aufgelistet F r jeden Benutzer wird auch der Verbindungstyp nach Protokoll wie z B TCP oder UDP geordnet ange zeigt Zus tzliche Informationen zur Verbindung k nnen den Angaben zur Ziel IP Adresse und zum Zielport entnommen werden Bei Verbindungen zum Port 21 handelt es sich z B um FTP Verbindungen w hrend Verbindungen zum Port 23 Telnet Verbindungen sind 174 Citrix Access Gateway Standard Edition Administratorhandbuch Die Verbindungen k nnen wie folgt verwaltet werden Sie k nnen Verbindungen z B TCP oder UDP Verbindungen schlie en Nehmen wir z B an dass ein Benutzer eine TCP Verbindung zu einer Ziel IP Adresse vielleicht einem zugeordneten Laufwerk besitzt auf die der Benutzer eigentlich nicht zugreifen k nnen soll Sie k nnen in diesem Fall die Zugriffssteuerungsliste f r die Gruppe korrigieren der dieser Benutzer angeh rt und dann die TCP Verbindung schlie en Weitere Informationen zur Verwaltung von Zugriffssteuerungslisten finden Sie unter Konfigurieren lokaler Benutzer auf Seite 84 Wenn Sie die Zugriffssteuerungsliste nicht vor dem Schlie en der Verbindung korrigieren kann der Benutzer die TCP Verbindung erneut einrichten Hinweis Das Access Gateway beh lt Verbindungen zur Ziel IP Adresse 0 0 0 0 bei die f r VPN Operationen erforderlich sind Durch Schlie en einer dieser Verbindungen werden aktive Verbindungen vor bergehend geschlossen
221. eout Mit dieser Einstellung trennt der Secure Access Client die Verbindung wenn w hrend des angegebenen Zeitraums keine Netzwerkpakete mehr vom Client an das Access Gateway gesendet werden Idle session timeout Mit dieser Einstellung wird die Benutzersitzung beendet wenn w hrend des angegebenen Zeitraums die Maus oder die Tastatur nicht mehr benutzt werden Zum Aktivieren dieser Einstellungen geben Sie jeweils den Zeitraum in Minuten f r die Timeoutfrist ein zul ssige Werte 1 bis 65536 Mit dem Wert Null 0 deaktivieren Sie die jeweilige Einstellung Wenn Sie den Wert 0 eingeben wird das Sitzungstimeout nicht aktiviert und die Einstellung wirkt sich nicht auf Clientverbindungen aus 172 Citrix Access Gateway Standard Edition Administratorhandbuch Falls Sie mehrere Einstellungen gleichzeitig aktivieren wird die Client verbindung geschlossen sobald die erste Timeoutfrist abl uft So aktivieren Sie Sitzungstimeouts 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Geben Sie auf der Registerkarte General unter Session options den Zeitraum in Minuten f r die folgenden Einstellungen ein User session timeout Network inactivity timeout Idle session timeout 4 Klicken Sie auf OK Konfigurieren von Websitzungstimeouts Wenn ein Benutzer beim Access Gateway angemeldet ist und
222. er Administrator eine Netzwerk ressource f r die Benutzer im Bereich Technik erstellt und diesen Benutzern zuweist Abgesehen davon dass der Administrator den Benutzern im Bereich Technik keinen Zugriff auf die Webanwendung f r den Vertrieb in Netzwerk 10 60 10 0 24 gew hrt ist die Vorgehensweise im Wesentlichen identisch mit dem vorigen Arbeitsschritt f r die Benutzer im Vertrieb Wie bereits oben erw hnt m ssen die Techniker auf einen Webkonferenzserver einen E Mail Server und mehrere Dateiserver zugreifen Alle diese Server befinden sich im Netzwerk 10 10 0 0 24 So gew hren Sie den Benutzern aus dem Bereich Technik Zugriff auf das Netzwerk l Erstellen Sie im rechten Bereich der Registerkarte Access Policy Manager im Access Gateway Administration Tool eine neue Netzwerkressource namens Technikerressourcen Geben Sie beim Erstellen dieser Ressource nur das Netzwerk 10 10 0 0 24 an 2 Erweitern Sie im linken Bereich die Benutzergruppe Au endiensttechniker 3 Ziehen Sie die Netzwerkressource Technikerressourcen aus dem rechten Bereich der Registerkarte Access Policy Manager auf Network Policies der Gruppe Au endiensttechniker im linken Bereich 322 Access Gateway Standard Edition Administratorhandbuch Jetzt ist die Netzwerkressource Technikerressourcen ein Bestandteil der Zugriffssteuerungsliste f r die Gruppe Au endiensttechniker Hinweis In komplexeren Umgebungen muss der
223. er Care Vollqualifizierter Dom nenname des Access Gateways Bei der Eingabe dieses Namens auf MyCitrix wird zwischen Gro und Kleinschreibung unterschieden Tragen Sie den vollqualifizierten Dom nennamen daher exakt so ein wie er auf der Registerkarte Access Gateway Cluster gt General Networking aufgef hrt ist Anzahl der Lizenzen die in die Lizenzdatei aufgenommen werden sollen Sie m ssen nicht alle Lizenzen auf die Sie Anspruch haben gleichzeitig downloa den Wenn Ihr Unternehmen beispielsweise 100 Lizenzen erworben hat k nnen Sie zun chst 50 Lizenzen herunterladen und die verbleibenden Lizenzen dann zu einem sp teren Zeitpunkt in einer anderen Lizenzdatei herunterladen Auf dem Access Gateway k nnen mehrere Lizenzdateien installiert werden So rufen Sie die Lizenzdatei ab 1 Gehen Sie in einem Webbrowser zu http www mycitrix com 2 Geben Sie Ihren Benutzernamen und Ihr Kennwort ein Bei der ersten Anmeldung an der Website werden Sie aufgefordert weitere Informationen anzugeben 3 Klicken Sie auf Meine Tools gt Activation System Lizenzen verwalten gt Erwerbungen anzeigen gt Zum Zuweisen klicken 4 Folgen Sie den Anweisungen um Ihre Lizenzdatei abzurufen Nachdem der Download der Lizenzdatei auf Ihren Computer erfolgreich abge schlossen wurde k nnen Sie die Datei auf dem Access Gateway installieren So installieren Sie eine Lizenz auf dem Access Gateway Ger t 1 ffnen Sie auf der Register
224. er Gruppe 127 Netzwerkressourcen 18 120 Zulassen und Verweigern 127 Netzwerkrouting 114 Netzwerkunterbrechung Authentifizierung 167 Netzwerkzugriff Citrix Presentation Server 214 F r Benutzer 114 Konfigurationsbeispiele 308 Konfigurieren 74 Routing 114 Neue Funktionen 20 Neustarten des Access Gateways 48 265 337 Node Secret 103 Norton Personal Firewall 269 NTLM Authentifizierung 22 28 107 142 339 NTLM Autorisierung 109 NTP siehe Network Time Protocol NTP 0 Offentliche Zertifizierungsstellen 299 Index 347 P Packliste 39 Paketdaten durchsuchen 289 Passthrough Authentifizierung 216 Ping Befehl 334 Serielle Konsole 43 Von xNetTools 289 ping Befehl 42 PKI siehe Public Key Infrastructure Port Lizenzierung 53 Scanner 289 Portalseite 120 ActiveX Steuerelement 152 188 Anpassen 187 Benutzernamenvariablen 186 Clientvariablen 186 Installieren 188 Konfigurieren 190 Mehrere Anmeldeoptionen 190 Standard 71 Verbindung herstellen 72 Vorlagen 185 Vorlagen herunterladen 186 258 Zweimethodenauthentifizierung 191 Portbereiche 21 Ports Administration Portal 25 Administration Tool 25 Double Hop DMZ Bereitstellung 234 245 Einzelne DMZ 25 LDAP Verbindungen 86 Portbereiche 21 Umleitung 47 Portumleitung 21 47 Private Zertifizierungsstellen 299 Privater Schl ssel Entschl sseln 302 Installieren von einem Windows Computer aus 60 Kennwortgesch tzt 57 Kombinieren mit signiertem Zertifikat 304 Problembehan
225. er LDAP Authentifizierung und Autorisierung abgeschlossen Danach stehen dem Administrator die folgenden Informationen zur Verf gung Die exakten Netzwerkpfade aller Netzwerkressourcen auf die Remote benutzer aus den Abteilungen Vertrieb und Technik zugreifen m ssen Die Namen der Benutzergruppen im LDAP Verzeichnis mit den Benutzern aus den Abteilungen Vertrieb und Technik die Remotezugriff ben tigen bei diesem Beispiel VertriebsauBendienst und Au endiensttechniker Die exakten LDAP Verzeichnisinformationen die zum Konfigurieren des Access Gateways f r die Arbeit mit dem LDAP Verzeichnis erforderlich sind Anhand dieser Informationen kann der Administrator nun das Access Gateway konfigurieren um den Benutzern aus den Abteilungen Vertrieb und Technik Zugriff auf die internen Netzwerkressourcen zu gew hren Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 315 Konfigurieren des Access Gateways zur Unterstutzung des Zugriffs auf die internen Netzwerkressourcen Die Konfiguration des Access Gateways zur Unterstiitzung des Zugriffs auf die internen Netzwerkressourcen ist der letzte Arbeitsschritt den der Administrator bei der Konfiguration der LDAP Authentifizierung und Autorisierung ausf hrt Dabei verwendet der Administrator die im vorigen Arbeitsschritt gesammelten Informationen um die Einstellungen im Administration Tool zu konfigurieren damit Remotebenutzer auf die internen Netzwerkressourcen zug
226. er finden Sie unter Konfigurieren lokaler Benutzer auf Seite 84 118 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn Sie die Autorisierung auf dem Access Gateway aktivieren werden die Benutzergruppeninformationen nach dem Authentifizieren des Benutzers vom Authentifizierungsserver abgerufen Wenn der vom Authentifizierungsserver abgerufene Gruppenname mit einem lokal auf dem Access Gateway erstellten Gruppennamen tibereinstimmt werden die Eigenschaften der lokalen Gruppe fiir die vom Authentifizierungsserver abgerufene Gruppe verwendet Wichtig Die Gruppennamen auf den Authentifizierungsservern und auf dem Access Gateway m ssen identisch sein auch hinsichtlich der Gro und Kleinschreibung Konfigurieren von Zugriffssteuerungslisten Jeder Benutzer sollte mindestens einer Gruppe angeh ren die lokal auf dem Access Gateway definiert ist Wenn ein Benutzer keiner Gruppe angeh rt wird anhand von Zugriffssteuerungslisten bestimmt auf welche Ressourcen der Benutzer Zugriff hat Diese Zugriffssteuerungslisten k nnen mit der Option Deny access without access control list ACL folgenderma en angepasst werden e Wenn die Option Deny Access aktiviert ist kann der Benutzer keine Verbindung herstellen Wenn die Option Deny Access deaktiviert ist hat der Benutzer vollen Zugriff auf das Netzwerk In beiden F llen kann der Benutzer zwar den Kioskmodus verwenden aber der Netzwerkzugriff innerhalb
227. ereitstellung Weitere Informa tionen zum Konfigurieren von Lastausgleich finden Sie unter Installieren zus tz licher Access Gateway Ger te auf Seite 271 Wenn Sie mehrere Ger te in der zweiten DMZ bereitstellen k nnen Sie jedes Access Gateway in der ersten DMZ so konfigurieren dass eine Verbindung zu jedem Access Gateway Proxyger t in der zweiten DMZ hergestellt werden kann 230 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn ein Access Gateway in der ersten DMZ eine Verbindung zu mehreren Access Gateway Ger ten in der zweiten DMZ herstellt f hrt das Access Gateway in der ersten DMZ einen Lastausgleich nach dem Round Robin Prinzip f r die Verbindungen zu den Ger ten in der zweiten DMZ aus Durch diesen Last ausgleich ist gew hrleistet dass die Verbindungen gleichm ig auf die Ger te in der zweiten DMZ verteilt sind Wenn ein Access Gateway Ger t in der zweiten DMZ ausf llt dann wird die Verbindung zu einem anderen noch verf gbaren Access Gateway in der zweiten DMZ hergestellt Informationen zum Konfigurieren eines Access Gateways um eine Verbindung zu mehreren Access Gateway Proxyger ten herzustellen finden Sie unter schritt 5 Konfigurieren des Access Gateways f r die Kommunikation mit dem Access Gateway Proxy auf Seite 239 Verwenden der Anmeldeseitenauthentifizierung in einer Double Hop DMZ Vor dem Bereitstellen von Access Gateway Ger ten in einer Double Hop DMZ sollten Sie
228. eren der Anmeldeseite 183 Anmeldeseite 207 Anmeldeseite deaktivieren 190 Anmeldeseite in Double Hop DMZ 230 Anmeldeseite in Double Hop DMZ aktivieren 230 Benutzergruppe 118 Bereiche 82 Default Bereich 80 ICA Zugriffssteuerung 214 Konfigurieren 78 LDAP 86 142 LDAP Konfigurationsbeispiel 309 317 Lokal 83 142 Lokale Benutzer 84 Mit zwei Methoden 110 191 Netzwerkunterbrechung 167 NTLM 107 142 339 Ohne Autorisierung 80 RADIUS 95 142 RSA SecurID 100 142 RSA SecurlD aktivieren 102 SafeWord 104 142 Webinterface 193 207 Zertifikate 295 Authentifizierungsarten 28 Autorisierung 80 LDAP 86 90 LDAP Konfigurationsbeispiel 309 Lokale Benutzer 84 NTLM 109 RADIUS 95 98 SafeWord 106 B Benutzer Anzeigen von Gruppen und Priorit ten 137 Deaktivieren und Aktivieren 175 Mehreren Gruppen hinzuf gen 124 Mit freigegebenen Netzlaufwerken arbeiten 166 Netzwerkzugriff 114 Offene Verbindungen anzeigen 289 Benutzergruppen Authentifizierung 118 Benutzer 117 Desktopfreigaben deaktivieren 173 Eigenschaften 122 168 Entfernen 122 Erstellen 121 Gruppenpriorit t 137 IP Pooling 168 Konfigurieren 117 Lokal 119 Mehrere 121 Portalseite 190 Ressourcen 123 Ressourcenzugriffssteuerung 128 Sitzungstimeout aktivieren 171 Split DNS 169 bersicht 118 Benutzergruppeninformationen 118 Benutzerkennw rter 85 Benutzername Variable f r Portalseite 186 Benutzersitzungstimeout 21 171 Benutzerverbindungen Citrix
229. eren von Clientanwendungen f r den Kioskmodus 161 Konfigurieren von Dateifreigaben f r den Kioskmodus 165 Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung 0 ccc een teen eee nenn 167 7 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren weiterer Gruppeneigenschaften 000 cece eee 168 Aktivieren von IP Pooling 00 0 ccc ccc teen ene 168 Aktivieren von Split DNS 0 ee eee Ga Ea 169 Aktivieren von internem Failover 02 e eee eee eee eee eee 170 Aktivieren von Dom nenanmeldeskripten 00 c cee eee 170 Aktivieren von Secure Access Client Sitzungstimeouts 171 Konfigurieren von Websitzungstimeouts 0 02 cece eee eee 172 Deaktivieren von Desktopfreigaben 0 0 cee cece eee eee 173 Schlie en und Deaktivieren von Benutzerverbindungen 173 Verarbeitung von Verbindungen im Access Gateway 22222222 174 Schlie en einer Verbindung zu einer Ressource 000 0000s 175 Deaktivieren und Aktivieren eines Benutzers 0 00 e eee 175 Anfordern von Clientzertifikaten f r die Authentifizierung 176 Definieren von Clientzertifikatskriterien 0 0 00 cece eee eee 177 Verwenden von Clientzertifikaten mit Access Gateway Advanced Edition 178 Installieren von Stammzertifikaten 0 0 00
230. erface arbeitet verschiedene Schritte mit den Webbrowser Clients und den Komponenten des Servers ab unter anderem mit dem XML Dienst und der Secure Ticket Authority Als Ergebnis dieser Inter aktionen erh lt der Benutzer eine Liste der ver ffentlichten Anwendungen mit den Links in dieser Liste greift der Benutzer auf die gew nschte ver f fentlichte Anwendung zu Wichtig Das Webinterface muss parallel zum Access Gateway in der zweiten DMZ installiert werden e Das Access Gateway in der zweiten DMZ fungiert als Proxy ber den der ICA Datenverkehr die zweite DMZ berwindet und eine Verbindung zur Serverfarm im internen Netzwerk hergestellt wird ber das Access Gateway in der zweiten DMZ kann au erdem das Access Gateway in der ersten DMZ mit der Secure Ticket Authority im internen Netzwerk kommunizieren Weitere Informationen zu diesen Interaktionen und den erforderlichen Konfigura tionsschritten f r die Bereitstellung von zwei Access Gateway Ger ten in einer Double Hop DMZ Konfiguration finden Sie unter Bereitstellen des Access Gateways in einer Double Hop DMZ auf Seite 223 Kapitel 3 Planen der Bereitstellung 35 Bereitstellen weiterer Gerate fur Lastausgleich und Failover Sie k nnen mehrere Access Gateway Ger te in Ihrer Umgebung installieren um damit Folgendes zu erreichen Skalierbarkeit Wenn Sie viele Remotebenutzer haben installieren Sie zus tz liche Access Gateway Ger te um diese Arbeitsbela
231. ern Sie im linken Bereich die Gruppe und dann den entsprechenden Richtlinien Knoten Klicken Sie mit der rechten Maustaste auf die Ressource die Sie entfernen m chten und klicken Sie dann auf Remove Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 129 Festlegen von Anwendungsrichtlinien Anwendungsrichtlinien dienen dazu den Netzwerkpfad einzuschr nken auf den Anwendungen zugreifen k nnen Stellen Sie sich z B vor ein Benutzer verwen det f r den E Mail Verkehr im Unternehmen Microsoft Outlook 2003 Sie k nnen Outlook so konfigurieren dass sie einen bestimmten Netzwerkpfad zum Microsoft Exchange Server verwendet Wenn die Netzwerkressource definiert ist sucht Outlook beim Starten nach der Netzwerkressource und der Endpunkt richtlinie sofern definiert Ist die Pr fung erfolgreich kann sich der Benutzer anmelden und seine E Mails abrufen F llt die Pr fung negativ aus startet Outlook nicht Wenn die Anwendung bereits vor dem Herstellen der Verbindung zum Access Gateway ge ffnet ist bleibt sie ge ffnet aber die Richtlinien werden wirksam sodass der Benutzer die Anwendung u U verwenden kann Wenn f r eine Anwendung keine Netzwerkressource oder Endpunktrichtlinie konfiguriert ist und wenn auf der Registerkarte General das Kontrollk stchen Deny applications without policies aktiviert ist wird der Anwendung der Zugriff auf das Netzwerk verweigert So konfigurieren Sie eine Anwendungsrichtlinie
232. ernen Sie eine Portaldatei vom Access Gateway Wahlen Sie in der Liste auf der Registerkarte Portal Page Configuration die Seiten ID der Datei aus und klicken Sie auf Remove Selected File Einf gen von Links zu Clients auf Ihrer Website Sie k nnen auf Ihrer Website Links zum Secure Access Client und zum Kiosk modus einf gen ber die die Benutzer direkt auf diese Clients zugreifen k nnen Die Links starten die Clients f r Windows oder leiten den Benutzer zu einer Seite weiter auf der das Herunterladen und Installieren des Secure Access Client f r Linux erl utert wird So f gen Sie auf Ihrer Website Links zum Secure Access Client und zum Kioskmodus ein l F gen Sie dem HEAD Tag der Webseite auf der die Links erscheinen sollen den folgenden Code hinzu lt object id Net6sLaunch type application x oleobject classid CLSID 7EOFDFBB 87D4 43a1 9AD4 A1FOEABSAFFTB codebase net6helper cab version 2 1 0 6 gt lt object gt 2 F gen Sie der Webseite wie folgt Links hinzu Client Linkziel Secure Access Client https IP Adresse CitrixSAClient exe Windows Java Kioskmodus Windows https IP Adresse CitrixS AKiosk exe Java Secure Access Client Linux https IP Adresse full_linux_instructions html wobei IP Adresse die Adresse des Access Gateways ist Diese Seite enth lt einen Link zur Linux Installationsprogrammdatei 190 Citrix Access Gateway Standard Edition Administrato
233. ersuche auf Port 80 vom Access Gateway automatisch an sichere HTTPS Verbindungsversuche auf Port 443 oder einen anderen vom Administrator festgelegten Port weitergeleitet werden Deaktivieren der Desktopfeigabe Sie k nnen die Desktopfreigabefunktion des Secure Access Clients f r eine Benutzergruppe deaktivieren Mit dieser Funktion k nnen Benutzer eine Liste aller anderen Benutzer anzeigen die gerade ange meldet sind Wenn diese Funktion zu Bedenken wegen des Datenschutzes in Ihrem Unternehmen f hrt k nnen Sie die Desktopfreigabe deaktivieren um eine bestimmte Benutzergruppe am Anzeigen der Liste der angemeldeten Benutzer zu hindern Zus tzliche Kontrolle ber Secure Access Client Verbindungen Sie k nnen den Secure Access Client so konfigurieren dass er die Verbindung zum Access Gateway trennt wenn w hrend eines festgelegten Zeitraums keine Benutzer aktivit t stattfindet Sie k nnen eine Trennung der Clientverbindung auch erzwin gen wenn die Verbindung f r eine bestimmte Zeit aktiv bleibt oder wenn das Access Gateway keine Tastatur oder Mausaktivit ten erkennt Deaktivieren des Kioskmodus In dieser Version k nnen Sie den Kioskmodus f r Clientverbindungen deaktivieren Wenn der Kioskmodus deaktiviert ist sehen Benutzer keinen Kiosk Link auf der der Webportalseite Benutzer d rfen sich nur mit dem vollen Secure Access Client oder den Citrix Presentation Server Clients anmelden Festlegen mehrerer Ports und Portbereich
234. ertifikat von einer Zwischenzertifizierungsstelle signiert ist ist die Zertifikatkette l nger 298 Citrix Access Gateway Standard Edition Administratorhandbuch Die nachstehende Abbildung zeigt dass die ersten beiden Elemente das Endein heitszertifikat in diesem Fall gwy01 firma com und das Zertifikat der Zwi schenzertifizierungsstelle und zwar in dieser Reihenfolge sind Nach dem Zertifikat der Zwischenzertifizierungsstelle folgt das Zertifikat ihrer Zertifizie rungsstelle Das letztgenannte Zertifikat in dieser Liste ist das Zertifikat der Stammzertifizierungsstelle Jedes Zertifikat in der Kette best tigt die Identit t des vorhergehenden Zertifikats a Stamm CA a USA Untergeordnet 1 USAS Untergeordnet 2 guy 1 firma com Typische Kette digitaler Zertifikate Zertifikatsperrlisten Gelegentlich ver ffentlichen Zertifizierungsstellen Zertifikatsperrlisten Zertifi katsperrlisten enthalten Informationen ber nicht mehr vertrauensw rdige Zertifi kate Beispiel Frau Meier verl sst das Unternehmen XYZ Das Unternehmen kann das Zertifikat von Frau Meier auf eine Zertifikatsperrliste setzen damit sie keine Nachrichten mehr mit diesem Schl ssel signieren kann Auf hnliche Weise k nnen Sie ein Zertifikat sperren wenn ein privater Schl ssel ffentlich bekannt geworden ist oder wenn dieses Zertifikat abgelaufen und ein neues Zertifikat g ltig ist Bevor Sie einem ffentlichen Schl ssel trauen sollten Sie sich
235. ertifikaten f r interne Verbindungen e Verwenden von Platzhalterzertifikaten Wichtig Verwenden Sie zum Konfigurieren von Zertifikaten keine 512 Bit Schl sselpaare da diese oft Opfer von Brute Force Angriffen werden Einf hrung in Sicherheitsprotokolle Kryptografie und digitale Zertifikate Dieser Abschnitt enth lt eine Einf hrung in das SSL Secure Sockets Layer und das TSL Transport Layer Security Protokoll und bietet einen berblick ber Kryptografie und die Public Key Infrastructure PKI Einfuhrung in Sicherheitsprotokolle SSL und TLS sind die f hrenden Internet Sicherheitsprotokolle f r E Commerce Webdienste und eine Vielzahl anderer Netzwerkfunktionen 292 Citrix Access Gateway Standard Edition Administratorhandbuch Das SSL Protokoll ist der aktuelle Standard fiir den sicheren Informations austausch im Internet Dieses urspr nglich von Netscape entwickelte Protokoll wurde enorm wichtig f r den Internetbetrieb Daher bernahm die IETF Internet Engineering Taskforce die Aufgabe SSL als offenen Standard zu entwickeln Um SSL von anderen Entwicklungsarbeiten zu unterscheiden wurde SSL von der IETF in TLS umbenannt Das TLS Protokoll stammt von der dritten SSL Version ab wobei TLS 1 0 SSL 3 1 entspricht Einige Organisationen u a amerikanische Regierungsstellen verlangen das Sichern der Datenkommunikation mit TLS Diese Organisationen verlangen u U auch die Verwendung verifizierter Krypto
236. erwendet 146 Citrix Access Gateway Standard Edition Administratorhandbuch Clients k nnen auf die Ressourcen im Unternehmensnetzwerk zugreifen indem sie ber das Access Gateway eine Verbindung von ihrem eigenen Computer oder von einem ffentlichen Computer aus herstellen Die Funktionsweise von Client verbindungen wird in den folgenden Themen genauer beschrieben Unterst tzung f r den Secure Access Client Konfigurieren von Proxyservern f r den Secure Access Client Herstellen einer Verbindung mit einer Webadresse Verbindungen im Kioskmodus Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung Konfigurieren weiterer Gruppeneigenschaften Schlie en und Deaktivieren von Benutzerverbindungen Anfordern von Clientzertifikaten f r die Authentifizierung Installieren von Stammzertifikaten Ausw hlen einer Verschl sselungsart f r Clientverbindungen Unterst tzung von VoIP Softphones Unterst tzung f r den Secure Access Client Damit die Benutzer eine Verbindung zum Access Gateway herstellen und es ver wenden k nnen m ssen Sie die folgenden Informationen bereitstellen Webadresse f r das Access Gateway z B https AccessGatewayFODN Wenn ein Benutzer von einem Computer aus zugreifen muss auf dem weder Windows 2000 oder h her noch Linux ausgef hrt wird jedoch Java Virtual Machine JVM 1 5 oder h her vorliegt kann der Benutzer die Java Appletversion des Kiosks verwenden Die Webadres
237. erzu geh ren die Netzwerkressourcen auf die die Benutzer in der Gruppe zugreifen k nnen au er dem die Anwendungsrichtlinien die Kioskverbindungen und die Endpunktricht linien Weitere Informationen zum Konfigurieren von zug nglichen Netzwerken Benut zergruppen und Netzwerkzugriff f r Benutzer finden Sie unter Konfigurieren von Netzwerkzugriff und Gruppenressourcen auf Seite 113 Citrix empfiehlt sich mit den Szenarien unter Beispiele fiir die Konfiguration des Netzwerkzugriffs auf Seite 307 vertraut zu machen bevor Sie den Netz werkzugriff f r das Ger t konfigurieren 76 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren der Authentifizierung und Autorisierung Das Access Gateway unterst tzt verschiedene Authentifizierungstypen LDAP RADIUS RSA SecurID NTLM und die SafeWord Produkte von Secure Computing In den folgenden Themen wird die Vorgehensweise bei der Konfigurierung der Authentifizierung in Access Gateway beschrieben Voraussetzungen zum Konfigurieren der Authentifizierung auf dem Access Gateway Konfigurieren der Authentifizierung auf dem Access Gateway Konfigurieren der lokalen Authentifizierung Konfigurieren lokaler Benutzer Konfigurieren von LDAP Authentifizierung und Autorisierung e Konfigurieren von RADIUS Authentifizierung und Autorisierung Konfigurieren der RSA SecurID Authentifizierung Konfigurieren der Authentifizierung mit Secure
238. es Citrix Access Gateways die Option Eigener Computer und klicken Sie auf Verbinden Der Benutzer wird aufgefordert das ActiveX Steuerelement net6helper cab zu installieren 4 Folgen Sie den Anweisungen auf dem Bildschirm um den Secure Access Client zu installieren Nach erfolgter Installation wird ein Symbol auf dem Desktop angezeigt 154 Citrix Access Gateway Standard Edition Administratorhandbuch So melden Sie sich ber den Secure Access Client am Access Gateway an l Doppelklicken Sie auf dem Desktop auf das Symbol des Secure Access Clients Geben Sie im Dialogfeld Citrix Secure Access Client die Anmelde informationen ein Wenn das Access Gateway mit mehreren Authentifizierungsbereichen konfiguriert ist und eine Verbindung zu einem anderen Bereich als dem Bereich Default hergestellt werden soll geben Sie vor dem Benutzernamen den Bereichsnamen ein Bereichsname Benutzername Falls SafeWord Produkte von Secure Computing verwendet werden geben Sie den Passcode ein Wenn das Access Gateway die Zweimethodenauthentifizierung erfordert geben Sie f r jedes Authentifizierungsverfahren den entsprechenden Benutzernamen und das zugeh rige Kennwort ein Wenn Ihre Site die RSA SecurID Authentifizierung verwendet setzt sich Ihr Kennwort aus Ihrer PIN und der auf dem RSA SecurID Token angezeigten Zahl zusammen Citrix Secure Access Client CITRIX Secure Access Client Rechtsklicken f r erw Optione
239. es in der ersten DMZ installierte Access Gateway muss f r die Kommu nikation mit allen in der zweiten DMZ installierten Access Gateway Proxy ger ten konfiguriert werden Schritt 6 Konfigurieren des Access Gateway Proxys f r die Kommunikation mit dem Access Gateway Beim Bereitstellen von Access Gateway Ger ten in einer Double Hop DMZ Konfiguration m ssen Sie das Access Gateway in der zweiten DMZ f r die Kommunikation mit dem Access Gateway in der ersten DMZ konfigurieren F hren Sie die nachstehend beschriebenen Schritte f r jedes Ger t aus das in der zweiten DMZ installiert ist So konfigurieren Sie das Access Gateway in der zweiten DMZ f r die Kommunikation mit dem Access Gateway in der ersten DMZ 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway in der zweiten DMZ 2 Wahlen Sie auf der Registerkarte General Networking unter DMZ configuration die Option Second hop in double DMZ 3 W hlen Sie unter Protocol entweder SOCKS over SSL oder SOCKS aus Wichtig Das von Ihnen ausgew hlte Protokoll muss mit dem Protokoll bereinstimmen das Sie beim Konfigurieren des Access Gateways in der ersten DMZ ausgew hlt haben 4 Der Standardport unter Port ist entweder 443 f r sichere Verbindungen oder 1080 f r unsichere Verbindungen Der von Ihnen ausgew hlte Port muss mit dem Port bereinstimmen den Sie beim Konfigurieren des Access Gateways in der ersten DMZ ausgew
240. eser lokalen Liste authentifiziert werden Bei dieser Konfiguration ist es nicht n tig Benutzerkonten in einem separaten externen Verzeichnis anzulegen Weitere Informationen zur Authentifizierung und Autorisierung finden Sie unter Beispiele f r die Konfiguration des Netzwerkzugriffs auf Seite 307 und Konfigurieren der Authentifizierung und Autorisierung auf Seite 77 Bereitstellen des Gateways mit Citrix Presentation Server Wird das Access Gateway mit dem Ziel bereitgestellt f r sicheren Remotezugriff auf Citrix Presentation Server zu sorgen erm glicht das Access Gateway gemeinsam mit dem Webinterface und der Secure Ticket Authority STA den Zugriff auf ver ffentlichte Anwendungen und Ressourcen die auf einer Server farm gehostet werden In diesem Abschnitt werden die Grundlagen bei der Bereitstellung des Access Gateways mit einer Serverfarm erl utert Weitere Informationen zu dieser Bereit stellungsform finden Sie unter Bereitstellen von Zugriff auf ver ffentlichte Anwendungen auf Seite 193 Kapitel 3 Planen der Bereitstellung 29 Die Konfiguration des Netzwerks Ihres Unternehmens bestimmt die Position an der Sie das Access Gateway bereitstellen wenn es zusammen mit einer Server farm genutzt werden soll Hierbei stehen zwei Optionen zur Auswahl Ist das interne Netzwerk in Ihrem Unternehmen mit einer einzelnen DMZ gesch tzt stellen Sie das Access Gateway direkt in der DMZ bereit Ist d
241. ess Client authentifizieren bevor die Anmeldeskripte ausgef hrt werden k nnen Unterst tzung f r NTLM Authentifizierung und Autorisierung Wenn Ihre Umgebung Windows NT 4 0 Dom nencontroller enth lt kann das Access Gateway Benutzer gegen die Dom nenbenutzerkonten auf dem Windows NT Server authentifizieren Das Access Gateway kann Benutzer basierend auf den Gruppenmitgliedschaften der Benutzer auf dem Windows NT 4 0 Dom nen controller auch f r den Zugriff auf interne Netzwerkressourcen autorisieren Challenge Response wurde der RADIUS Benutzerauthentifizierung hinzugef gt Das Access Gateway unterst tzt jetzt Challenge Response Token authentifizierung mit Modi f r neue PIN Nummer und n chstem Token wenn RSA SedurlD Authentifizierung mit RADIUS verwendet wird SafeWord PremierAccess ge ndert damit standardbasierte RADIUS Token Benutzerauthentifizierung unterst tzt wird Die propriet re PremierAccess Konfigurationsdatei wurde entfernt und durch RADIUS Serverunterst tzung ersetzt Verbliebene SafeWord Premier Access Bereiche werden beim Upgrade des Access Gateways auf Version 4 5 konvertiert SafeWord Authentifizierung wird mit RADIUS hnlichen Parametern konfiguriert Aktualisiertes Men in der seriellen Konsole Die serielle Konsole enth lt neue Men eintr ge mit denen Sie das Access Gateway Administratorkennwort ndern Duplexmodus und Netzwerkadaptergeschwindigkeit festlegen und das Standardzertifikat das zum
242. ess Client au er Kraft gesetzt werden So aktivieren Sie Split DNS 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte Network die Option Enable split DNS Das Access Gateway f hrt lediglich dann eine Failoveroperation auf das lokale DNS durch wenn kein Kontakt zu den angegebenen DNS Servern hergestellt werden kann Bei erfolgreicher Kontaktaufnahme aber negativer Antwort erfolgt kein Failover Klicken Sie auf OK 170 Citrix Access Gateway Standard Edition Administratorhandbuch Aktivieren von internem Failover Durch die Konfiguration der lokalen DNS Einstellungen ftir den Client ist der Secure Access Client in der Lage durch eine Firewall hindurch eine Verbindung zum Access Gateway herzustellen Wenn diese Einstellungen konfiguriert sind f hrt der Client ein Failover zur internen IP Adresse des Access Gateways durch falls die externe IP Adresse nicht erreichbar ist So aktivieren Sie das interne Failover 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren Sie unter Advanced options die Option Enable internal failover Wenn dieses Kontrollk stchen aktiviert ist wird die interne IP Adresse des Access Gateway in die Failoverliste aufgenommen Falls Sie externen Admini stratorzugriff deaktiviert haben steht Port 9001 nicht zur Verf g
243. ess Gateway Standard Edition Administratorhandbuch Weitere Informationen zum Konfigurieren der Einstellungen auf dem RSA Server finden Sie in der Dokumentation des Herstellers So konfigurieren Sie RSA SecurlD Authentifizierung l 2 Klicken Sie auf die Registerkarte Authentication Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen der auf den RSA ACE Server hinweist ein Wahlen Sie One Source und klicken Sie auf Add Hinweis Wenn der Bereich Default RSA Authentifizierung verwenden soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 81 beschrieben Aktivieren Sie im Dialogfeld Select Authentication Type unter Authentication type die Option RSA SecurID Authentication Klicken Sie auf OK Ein Dialogfeld f r den neuen Bereich wird ge ffnet Achtung Wenn die auf das Access Gateway hochgeladene Datei sdconf rec ung ltig ist sendet das Access Gateway u U Meldungen an nicht vorhandene IP Adressen Netzwerk berwachungseinrichtungen k nnten dies als Netzwerkspamming einstufen Klicken Sie zum Hochladen der soeben generierten Datei sdconf rec auf der Registerkarte Authentication auf Upload sdconf rec File gehen Sie zu der Datei und klicken Sie dann auf ffnen Die Datei sdconf rec wird normalerweise unter ace data config_files und windows system32 gespeichert Aus der Dateistatusmeldung ge
244. essourcen enthalten Festlegen welche Benutzer aus den Abteilungen Vertrieb und Technik Remotezugriff ben tigen Sammeln der LDAP Verzeichnisinformationen Festlegen welche internen Netzwerke die gew nschten Ressourcen enthalten Zum Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisie rung muss der Administrator zuerst festlegen welche internen Netzwerke die gew nschten Ressourcen enthalten Dabei legt der Administrator die Netzwerkpfade der Ressourcen fest auf die Remotebenutzer Zugriff haben m ssen Im Folgenden werden noch einmal die Anforderungen wiederholt Remotebenutzer die f r die Vertriebsabteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver eine Webanwendung f r den Vertrieb und mehrere Dateiserver im internen Netzwerk haben Remotebenutzer die f r die technische Abteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver und mehrere Datei server im internen Netzwerk haben Im internen Netzwerk sind zwar drei E Mail Server vorhanden der Administrator m chte Remotebenutzern jedoch nur den Zugriff auf einen dieser E Mail Server gew hren F r diesen Arbeitsschritt wird angenommen dass der Administrator die folgenden Informationen gesammelt hat Der Webkonferenzserver die E Mail Server und die Dateiserver auf die Remotebenutzer aus den Abteilungen Vertrieb und Technik zugreifen m ssen befinden sich im Netzwerk 10
245. estatten Sie ihr auch nur den Zugriff auf diese bestimmte Ressourcengruppe Verweigerungsregeln besitzen eine h here Priorit t als Zulassungsregeln Auf diese Weise k nnen Sie den Zugriff auf einen ganzen Bereich von Ressourcen erlauben gleichzeitig aber auch den Zugriff auf ausgew hlte Ressourcen innerhalb dieses Bereichs verweigern Stellen Sie sich z B vor Sie m chten einer Gruppe den Zugriff auf eine Ressourcengruppe im Bereich 10 20 10 0 24 erlauben m ssen dabei aber der Gruppe den Zugriff auf 10 20 10 30 verweigern Um dies umzusetzen m ssen Sie zwei Ressourcengruppen erstellen eine die das Subnetz 10 20 10 0 24 enth lt und eine andere die 10 20 10 30 enth lt Der Zugriff auf diese Ressource wird so lange verweigert bis Sie ihn explizit erlauben So konfigurieren Sie die Ressourcenzugriffssteuerung f r eine Gruppe l 2 Klicken Sie auf die Registerkarte Access Policy Manager Konfigurieren Sie im rechten Bereich die Gruppenressourcen Wenn die Ressource konfiguriert ist klicken Sie auf die Ressource und ziehen Sie sie auf die Gruppe im linken Bereich Wenn Sie den Zugriff auf eine Ressource zulassen oder verweigern m chten klicken Sie mit der rechten Maustaste im linken Bereich auf die Netzwerkressource oder die Anwendungsrichtlinie und klicken Sie dann auf Allow oder Deny So entfernen Sie eine Ressource von einer Benutzergruppe l 2 Klicken Sie auf die Registerkarte Access Policy Manager Erweit
246. eugt in Interaktion mit der Secure Ticket Authority eine ICA Datei mit der der ICA Datenverkehr durch das Access Gateway an die Serverfarm weitergeleitet wird Weitere Informationen finden Sie unter Bereitstellen von Zugriff auf ver ffent lichte Anwendungen auf Seite 193 Herstellen einer sicheren Verbindung zur Serverfarm In diesem Abschnitt wird an einem Beispiel erl utert wie ein in der DMZ bereit gestelltes Access Gateway in Zusammenarbeit mit dem Webinterface einen sicheren zentralen Zugriffspunkt auf die ver ffentlichten Ressourcen in einem sicheren Unternehmensnetzwerk bildet In diesem Beispiel gelten die folgenden Bedingungen Clients aus dem Internet stellen tiber Presentation Server Clients eine Verbindung zum Access Gateway her e Das Webinterface befindet sich hinter dem Access Gateway in der DMZ Die Clients bauen eine anf ngliche Verbindung zum Access Gateway auf die dann an das Webinterface umgeleitet wird Kapitel 3 Planen der Bereitstellung 31 Das sichere Netzwerk enthalt eine Serverfarm Auf einem Server innerhalb dieser Serverfarm wird die Secure Ticket Authority ausgefiihrt und auf einem anderen Server innerhalb der Serverfarm wird der Citrix XML Dienst ausgef hrt Die Clients greifen mit dem folgenden Verfahren auf die Ressourcen zu die in der Serverfarm ver ffentlicht sind Ein Remotebenutzer gibt die Adresse des Access Gateways in das Adress feld eines Webbrowsers ein Beispiel htt
247. ewall zum HTTP Server im internen Netzwerk her Mit den Verwaltungstools des Access Gateways h ren au erdem die folgenden Ports nach Verbindungen ab Port 9001 ber diesen Port erfolgen Verbindungen zum Administration Portal Port 9002 ber diesen Port erfolgen Verbindungen zum Administration Tool 26 Access Gateway Standard Edition Administratorhandbuch Access Gateway in einem sicheren Netzwerk Sie k nnen das Access Gateway im sicheren Netzwerk installieren In diesem Szenario befindet sich in der Regel eine Firewall zwischen dem Internet und dem sicheren Netzwerk Das Access Gateway befindet sich innerhalb der Firewall und steuert den Zugriff auf die Netzwerkressourcen Sicheres Netzwerk ae E Mail Server Lu ber den Secure u Access Client inteme i E verbundenes Clientger t Web oder Anwendungsserver Access Gateway in einem sicheren Netzwerk Access Gateway Konnektivit t in einem sicheren Netzwerk Wird ein Access Gateway im sicheren Netzwerk bereitgestellt m ssen die Secure Access Client oder Kioskclient Verbindungen die Firewall berwinden um eine Verbindung zum Access Gateway herstellen zu k nnen Standardm ig erfolgt diese Verbindung bei beiden Clients mithilfe des SSL Protokolls an Port 443 Damit diese Verbindung m glich ist m ssen Sie Port 443 in der Firewall ffnen Hinweis Sie k nnen den Port ndern ber den die Clients eine Verbindung zum Access Ga
248. eway anmelden bekommen zwar das Webinter face nicht aber ihre Anwendungen angezeigt Das Message Center gibt an dass die Anmeldeinformationen des Benutzers ungiiltig sind Die wahrscheinlichste Ursache fiir diese Fehlermeldung besteht darin dass die Benutzer sich am Access Gateway mit Nicht LDAP Anmeldeinformationen von einer anderen Dom ne als der Dom ne anmelden f r die das Webinterface eingerichtet ist Zur L sung dieses Problems m ssen Sie sicherstellen dass die Standarddom ne auf dem Server auf dem das Webinterface ausgef hrt wird mit dem Standardbereich im Access Gateway identisch ist Stellen Sie au erdem sicher dass das Access Gateway f r LDAP Authentifizierung konfiguriert ist und dass der LDAP Server ein Dom nencontroller in derselben Dom ne wie das Webinterface ist Benutzer k nnten sich auch mit einem Bereichsnamen am Access Gateway anmelden aber der Bereichsname ist nicht derselbe wie der Dom nenname Bereichsnamen m ssen mit den entsprechenden Active Directory Dom nen namen bereinstimmen Damit sich Benutzer mit einem anderen Bereichsnamen als dem des Standardbereichs anmelden k nnen geben Sie den Bereichsnamen und den Benutzernamen ein z B Bereichsname Benutzername Wenn sich die Benutzer am Access Gateway anmelden werden dann der Bereichsname und der Benutzername an das Webinterface bergeben Das Webinterface wandelt den Bereichsnamen und den Benutzernamen in den Dom nennamen und Benutzer namen um
249. eways mit Access Gateway Advanced Edition ist das Ger t die einzige Komponente die sich in der DMZ befinden und mit der Access Serverfarm kommunizieren darf Das Secure Gateway kann nicht zusammen mit Access Gateway Advanced Edition eingesetzt werden Mehrere Server in einer Access Serverfarm Ist in der Konfiguration des Access Gateways festgelegt dass Verbindungen mit mehreren Servern mit Access Gateway Advanced Edition aufgebaut werden sollen wird berpr ft ob die Server tats chlich aktiv sind bevor das Access Gateway eine Anforderung an die Server sendet Stellt das Access Gateway fest dass ein Server nicht aktiv ist wird in regelm igen Zeitabst nden berpr ft ob der Server wieder online ist Sie k nnen die Zeitabst nde in Sekunden angeben in denen das Access Gateway den Server berpr ft Der Mindestzeitraum betr gt 60 Sekunden So legen Sie das berpr fungsintervall f r einen Server mit Advanced Access Control fest 1 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Advanced Options 2 Geben Sie den gew nschten Zeitraum in das Feld Retry invalid server in access server farm every Zeitraum in Sekunden seconds ein Zeitraum in Sekunden bezeichnet hierbei das Textfeld 3 Klicken Sie auf Set Erstmalige Installation des Access Gateways Die Installation des Access Gateways in einer Netzwerkinfrastruktur erfordert keine Anderungen an der vorhandenen Hard
250. ezogen werden sollen und wie die MRTG Ausgabe aussehen soll WorkDir var www html metg Options _ nopercent gauge noinfo growright Target vpn myorg com tepCurrEstab 1 3 6 1 2 1 6 9 06 1 3 6 1 2 1 6 9 0 mypswd 10 10 0 30 Xsize vpn myorg com tepCurrEstab 600 Ysize vpn myorg com tcepCurrEstab 200 Ytics vpn myorg com tepCurrEstab 10 Title vpn myorg com tcpCurrEstab ESTABLISHED TCP connections PageTop vpn myorg com tcepCurrEstab lt hi1 gt ESTABLISHED TCP connections lt hi gt MaxBytes vpn myorg com tepCurrEstab 1000000 YLegend vpn myorg com tcepCurrEstab est conns ShortLegend vpn myorg com tcpCurrEstab enbsp LegendI vpn myorg com tcepCurrEstab amp nbsp Connections enbsp LegendO vpn myorg com tcepCurrEstab Legendi vpn myorg com tcepCurrEstab Established TCP connections MRTG Konfigurationsdatei 288 Citrix Access Gateway Standard Edition Administratorhandbuch 3 Bearbeiten Sie etc crontab so dass alle 5 Minuten eine SNMP Abfrage durchgef hrt wird anhand derer eine grafische Ausgabe erstellt werden kann Die einzelnen aufgef hrten CFG Dateien generieren eine separate Ausgabe 4 Zeigen Sie die Ausgabe in einem Webbrowser an Das Tool speichert die HTML Ausgabe in dem in der Konfigurationsdatei angegebenen Arbeitsverzeichnis Der Dateiname der Ausgabe der mit dem der in Schritt 2 erstellten Konfigurationsdatei bereinstimmt lautet vpn myorg com tcpcurrestab html Anzeigen
251. f Benutzer gruppenebene konfiguriert Wenn Sie die Anmeldeseitenauthentifizierung im vorigen Schritt aktiviert haben sollten Sie auch die Option f r Single Sign On am Webinterface aktivieren So leiten Sie Verbindungen an das Webinterface weiter 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste auf die Benutzergruppe Default und klicken Sie auf Properties 3 Klicken Sie auf die Registerkarte Gateway Portal Klicken Sie auf Redirect to Web Interface 238 Citrix Access Gateway Standard Edition Administratorhandbuch 4 Geben Sie unter Path wahlweise Folgendes ein Geben Sie die spezielle Webadresse ein an die das Access Gateway HTTP Anforderungen weiterleiten soll Die Standardeinstellung ist Citrix MetaFrame auth Login aspx Geben Sie einen Schr gstrich ein oder lassen Sie das Feld leer damit Anforderungen an die Webinterface Standardseite weiter geleitet werden 5 Geben Sie im Feld Web server die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein auf dem das Webinterface ausgef hrt wird 6 Optional Aktivieren Sie die Option Single sign on to the Web Interface wenn Sie die Anmeldeseitenauthentifizierung aktiviert haben Aktivieren Sie diese Option nicht wenn die Anmeldeseitenauthentifizierung deaktiviert ist Weitere Informationen hierzu finden Sie unter Verwenden der Anmelde seitenauthentifizierung in einer Double Hop D
252. fachen Gr er als Zeichen gt gt wird der Inhalt der Dateien root4 pem und root5 pem an den bereits vorhandenen Inhalt der Datei current roots pem angeh ngt Konfigurieren weiterer Netzwerkeinstellungen Nach der Installation der Lizenzen und Zertifikate auf dem Access Gateway fallen ggf weitere Konfigurationsschritte an mit denen das Access Gateway auf die Arbeit im Netzwerk vorbereitet wird Dazu geh ren folgende Schritte Konfigurieren von Namensdienstanbietern mit denen bis zu drei DNS Server und ein WINS Server konfiguriert werden k nnen Bearbeiten der HOSTS Datei zum Umgehen des DNS und zum Aufl sen bestimmter IP Adressen in bestimme Hostnamen Konfigurieren des dynamischen und statischen Routing f r das Abh ren von Routen die von den Routingservern ver ffentlicht werden bzw f r die Verwendung statischer Routen e Konfigurieren von Datum und Uhrzeit Konfigurieren der Standard Anmeldeseite f r den Secure Access Client Konfigurieren von Namensdienstanbietern Die Namensaufl sung wird auf der Registerkarte Name Service Providers konfiguriert Hier k nnen Sie Einstellungen f r bis zu drei DNS Server und einen WINS Server angeben Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 63 So legen Sie DNS und WINS Server fest 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Name Service Providers
253. ffs steuerungslisten aufgef hrt sind Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 215 Wenn Sie keine ICA Zugriffssteuerungsliste erstellen und die Einstellungen unter Configure Settings for ICA Connections auf der Registerkarte ICA Access Control leer lassen wird jeglicher ICA Verkehr durch das Access Gateway gelassen und Benutzer k nnen mit jedem Server in der Serverfarm eine Verbindung herstellen So erstellen Sie eine ICA Zugriffssteuerungsliste l Klicken Sie auf der Registerkarte Authentication auf ICA Access Control 2 Wenn Sie einen Bereich von Servern angeben m chten auf denen Citrix Presentation Server ausgef hrt wird geben Sie in den Feldern Starting IP address und Ending IP address die erste und die letzte IP Adresse ein 3 Wahlen Sie unter Protocol die Option ICA oder CGP Citrix Gateway Protocol das f r Sitzungszuverl ssigkeit verwendet wird 4 Behalten Sie die unter Port angegebene Standardportnummer bei oder geben Sie eine neue Nummer ein Der Standardport f r ICA Verbindungen ist 1494 Der Standardport f r die Sitzungszuverl ssigkeit ist 2598 5 Klicken Sie auf Add Testen Sie nach dem Konfigurieren der ICA Zugriffssteuerungsliste die Konfiguration So testen Sie Verbindungen zu Presentation Server l Stellen Sie in einem Webbrowser mit der IP Adresse oder dem vollqualifi zierten Dom nennamen eine Verbindung zum Access Gateway her Die Webinterface Anmeldeseite
254. findet keinen passenden Schl ssel als Gegenst ck So installieren Sie eine Zertifikatdatei mit dem Administration Tool 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf der Registerkarte Administration neben Upload a crt signed certificate auf Browse Diese Schaltfl che kommt nur dann zum Einsatz wenn Sie ein signiertes Zertifikat installieren das ber die Registerkarte Certificate Signing Request erstellt wurde 3 Suchen Sie die Datei die hochgeladen werden soll und klicken Sie auf ffnen Sie k nnen das Zertifikat auch ber das Administration Portal hochladen Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 59 So installieren Sie ein Zertifikat ber das Administration Portal l Klicken Sie auf der Administration Portal Hauptseite auf Maintenance 2 Klicken Sie neben Upload Signed Certificate crt auf Browse 3 Navigieren Sie zum Zertifikat und laden Sie die Datei hoch Zur cksetzen des Zertifikats auf die Standardversion Das Access Gateway enth lt ein Zertifikat das keine digitale Signatur einer Zerti fizierungsstelle tr gt F r den Fall dass die Konfiguration des Ger ts wiederher gestellt werden muss k nnen Sie das Zertifikat auf das Standardzertifikat aus dem Lieferumfang des Access Gateways zur cksetzen W hlen Sie hierzu in der seriellen Konsole die Option zum Zur cksetzen des Zertifikats So setzen Sie da
255. g Wenn sich das Webinterface im sicheren Netzwerk befindet muss die Anmeldeseitenauthentifizierung auf dem Access Gateway aktiviert sein Wenn die Anmeldeseitenauthentifizierung deaktiviert ist werden nicht authentifizierte HTTP Anforderungen direkt an den Server gesendet auf dem das Webinterface ausgef hrt wird Die Deaktivierung der Anmeldeseitenauthentifizierung wird nur empfohlen wenn sich das Webinterface in der DMZ befindet und Benutzer eine direkte Verbindung zum Webinterface herstellen So aktivieren Sie die Anmeldeseitenauthentifizierung Deaktivieren Sie auf der Registerkarte Global Cluster Policies unter Advanced options die Option Enable logon page authentication Konfigurieren des Webinterface f r die Authentifizierung Das Webinterface kann auf einem Server in der DMZ oder im sicheren Netzwerk ausgef hrt werden Wenn Benutzer mit Presentation Server Clients eine Verbin dung herstellen berpr ft die Secure Ticket Authority die Authentifizierung die vom Webinterface bereitgestellt wird Wichtig Wenn das Webinterface im sicheren Netzwerk installiert ist empfiehlt Citrix dass das Access Gateway den Netzwerkverkehr authentifiziert bevor die Anforderung an das Webinterface gesendet wird Nicht authentifizierter Netzwerkverkehr sollte innerhalb des sicheren Netzwerks nicht an das Webinterface gesendet werden d rfen 208 Citrix Access Gateway Standard Edition Administratorhandbuch In diesem Fall verwendet
256. g und Autorisierung Sie k nnen das Access Gateway f r die Authentifizierung des Benutzerzugriffs mit einem oder mehreren RADIUS Server n konfigurieren Ftir jeden fiir die Authentifizierung verwendeten RADIUS Bereich k nnen Sie einen prim ren und einen sekund ren RADIUS Server konfigurieren Wenn der prim re RADIUS Server nicht verf gbar ist versucht das Access Gateway die Authentifizierung f r diesen Bereich mit dem sekund ren RADIUS Server vorzunehmen Wenn ein Benutzer sich nicht auf den RADIUS Servern befindet oder wenn die Authentifizierung fehlschl gt berpr ft das Access Gateway den Benutzer anhand der lokal auf dem Access Gateway gespeicherten Benutzerinformationen sofern auf der Registerkarte Settings des Bereichs die Option Use the local user database on the Access Gateway aktiviert ist 96 Citrix Access Gateway Standard Edition Administratorhandbuch Die Access Gateway Software enth lt au erdem die RADIUS Autorisierung die mit der RAS Richtlinie im Microsoft Internetauthentifizierungsdienst IAS konfiguriert wird Wahrend der Konfiguration des Access Gateways miissen die folgenden Informationen bereitgestellt werden Vendor Code entspricht dem im IAS eingegebenen Herstellercode Vendor assigned atttribute number entspricht der vom Hersteller zugewiesenen Attributnummer Attribute Value Prefix entspricht dem im IAS definierten Attributwert Der Standardname lautet CTXSUserGroups Das Trennzeich
257. gatewayger ts f r die Schnittstelle 0 0 ein und dr cken Sie dann die Eingabetaste um das Express Setup zu starten Die an den einzelnen Eingabeaufforderungen eingegebenen Informationen werden angezeigt Geben Sie zum Best tigen Ihrer nderungen y ein Das Access Gateway wird neu gestartet Um zu berpr fen ob das Access Gateway ein angeschlossenes Netzwerkger t pingen kann geben Sie 1 und die IP Adresse des Ger ts ein Ziehen Sie das serielle Kabel ab und schlie en Sie das Access Gateway entweder mit einem Kreuzkabel an einen Windows Computer oder mit einem Netzwerkkabel an einen Netzwerkswitch an Schalten Sie dann das Access Gateway ein Zus tzliche Access Gateway Einstellungen werden mit dem Administration Tool konfiguriert Kapitel 4 Erstmalige Installation des Access Gateways 45 Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln Das Access Gateway hat zwei Netzwerkadapter Ein Netzwerkadapter kommuniziert mit dem Internet und den Clientcomputern die sich au erhalb des Unternehmensnetzwerks befinden Der andere Netzwerkadapter bernimmt die Kommunikation innerhalb des internen Netzwerks Citrix empfiehlt beide Netzwerkadapter mit maximaler Sicherheit zu konfigu rieren Wenn nur ein Netzwerkadapter verwendet wird muss dieser mit NAT Network Address Translation f r interne Ressourcen geroutet werden k nnen Au erdem wird bei Verwendung nur eines Netzwerkadapters der Datendurchsatz des Netzwerks halbier
258. gebene vollqualifizierte Dom nenname ist au erhalb Ihrer Firewall verf gbar S mtliche nderungen die in der seriellen Konsole des Access Gateways oder im Administration Tool vorgenommen wurden wurden gesendet Anhang D Problembehandlung beim Access Gateway 337 Verwenden von Strg Alt Entf zum Neustarten des Access Gateways nicht m glich Die Neustartfunktion auf dem Access Gateway ist deaktiviert Sie m ssen das Ger t mit dem Administration Tool neu starten und herunterfahren Sitzungen mit SSL Version 2 und Zertifikatketten auf mehreren Ebenen Wenn Zwischenzertifikate Zertifikate mit mehreren Ebenen Teil Ihres sicheren Zertifikatsuploads sind stellen Sie sicher dass die Zwischenzertifikate in der hochzuladenden Zertifikatdatei enthalten sind SSL Version 2 unterst tzt die Zer tifikatsverkettung nicht Alle Zertifikate die mehr als eine Ebene besitzen m ssen s mtliche Zwischenzertifikate enthalten da das System anderenfalls unbrauchbar werden k nnte Informationen dazu wie Sie der hochzuladenden Zertifikatdatei Zwischenzertifikate hinzuf gen k nnen finden Sie unter Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 291 H 323 Protokoll Das Access Gateway unterst tzt das H 323 Protokoll nicht Anwendungen die das H 323 Protokoll verwenden wie z B NetMeeting von Microsoft k nnen mit dem Access Gateway nicht verwendet werden Zertifikate mit 512 Bit Schl sselpaaren Verwenden Sie zu
259. gefasst Diese Einstellungen werden f r alle Gruppen zusammengefasst von denen der Benutzer Mitglied ist Die zusammengefassten Einstellungen werden dann gesammelt auf den Benutzer angewandt Beispiel Ein Benutzer ist Mitglied der Vertriebs und der Support gruppe Wenn die Vertriebsgruppe notepad exe und calc exe und die Support gruppe Internet Explorer als Endpunktrichtlinie definiert haben werden alle diese Richtlinien auf den Benutzer angewandt Kioskmoduskonfiguration Umfasst dauerhaften Modus die Anwendun gen die der Benutzer verwenden kann und die Standardwebadresse mit der der Benutzer eine Verbindung herstellt Endpunktrichtlinien Hiermit werden Registrierungseinstellungen Prozesse oder Dateien festgelegt die auf dem Clientcomputer vorhanden sein m ssen Wenn Benutzer Mitglied in mehreren Gruppen sind und IP Pooling in einer dieser Gruppen aktiviert ist teilt das Access Gateway der ersten Gruppe in der IP Pooling aktiviert ist eine IP Adresse aus dem Pool zu Gruppen werden zun chst in der Reihenfolge ihrer Erstellung aufgef hrt So legen Sie die Priorit t von Gruppen fest 1 Klicken Sie auf die Registerkarte Group Priority 2 W hlen Sie eine Gruppe aus die verschoben werden soll und verschieben Sie die Gruppe mit den Pfeilschaltfl chen in der Liste nach oben oder unten Die Gruppe die in der Liste ganz oben steht hat die h chste Priorit t Kapitel 7 Konfigurieren von Netzwerkzugriff und Gru
260. gen wonach jedes Clientger t beim Zugriff auf den E Mail Server bestimmte Anforderungen erf llen muss Weitere Informationen hierzu finden Sie unter Festlegen von Anwendungsrichtlinien auf Seite 129 Mit diesen Arbeitsschritten ist das Szenario f r die Konfiguration der LDAP Authentifizierung und Autorisierung abgeschlossen Danach hat der Administrator Folgendes konfiguriert Benutzer k nnen sich ber ihre LDAP Anmeldeinformationen bei dem LDAP Verzeichnis authentifizieren das im Authentifizierungsbereich Default angegeben ist Auf Basis ihrer Gruppenmitgliedschaft im LDAP Verzeichnis und auf dem Access Gateway d rfen Benutzer auf die internen Netzwerkressourcen zugreifen Nur Benutzer die Mitglied der Gruppe Vertriebsau endienst oder Au endiensttechniker sind d rfen auf Ressourcen im internen Netzwerk zugreifen Beide Gruppen m ssen jeweils im LDAP Verzeichnis und auf dem Access Gateway vorhanden sein Benutzer der Gruppe Vertriebsau endienst d rfen auf den Web konferenzserver und die Dateiserver im Netzwerk 10 10 0 0 24 sowie auf die Webanwendung f r den Vertrieb im Netzwerk 10 60 10 0 24 zugreifen Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 325 Die Benutzer aus dem Bereich Vertrieb k nnen zwar auf die E Mail Anwendung auf dem Server mit der IP Adresse 10 10 25 50 jedoch nicht auf die E Mail Anwendung auf anderen E Mail Servern in den zugelassenen Netzwerken z
261. gen 286 Gemeldete MIB Gruppen 286 Protokolle aktivieren und anzeigen 286 Softphones 181 Speed Mode 46 Speicherbelegung 290 Speichern Systemkonfiguration 264 Split DNS 120 169 Split Tunneling 116 Citrix Presentation Server 117 Konfigurieren 117 SSH Client 158 163 SSL Secure Socket Layer 291 SSL siehe Secure Socket Layer Stammzertifikate 179 295 Erstellen ber Eingabeaufforderung 62 Installieren 60 179 Mehrere installieren 61 Standardgateway Konfigurieren 46 Standardportalseite 71 Standardzertifikat Zur cksetzen 59 Index 349 Statische Routen Beispiel 68 Entfernen 68 Hinzuf gen 67 Testen 68 Statisches Routing 66 67 Testen 68 Statistiken 288 Status Secure Access Client 268 Subscription Advantage 15 Sygate Personal Firewall 269 System Monitor 290 Systemanforderungen Secure Access Client 140 Systemkonfiguration Speichern 264 Wiederherstellen 264 Systemprotokoll Anzeigen 283 Archiv 283 Downloaden 283 Filtern 283 284 Weiterleiten an Systemprotokollserver 286 Systemprotokollserver Weiterleiten des Systemprotokolls 286 Systemstatistiken 288 T TCP IP Einstellungen Double Hop DMZ 48 Konfigurieren mit Netzwerkkabeln 45 Konfigurieren mit seriellem Kabel 44 Serielle Konsole 42 Technischer Support 15 Telnet 3270 Emulator Client 158 163 Testzertifikate 300 Ticketing 208 ICA Datei 208 Timeout 21 Benutzersitzung 119 171 Inaktive Sitzung 120 171 Netzwerkinaktivit t 120 171 W
262. ging auf Seite 164 Wenn der Browser der Benutzer f r die Verwendung eines Proxyservers konfigu riert ist verwenden die Benutzer die im Kioskmodus verbunden sind die Proxy einstellung des Browsers Damit Benutzer ber den Kioskmodus auf Unternehmensressourcen zugreifen k nnen muss dieser Modus zun chst aktiviert werden So aktivieren Sie den Kioskmodus Aktivieren Sie auf der Registerkarte Global Cluster Policies unter Access options die Option Enable kiosk mode Ist dieses Kontrollk stchen deaktiviert k nnen Benutzer den Kioskmodus nicht verwenden und die entsprechende Option ist auf der Webportalseite nicht verf gbar Bei aktiviertem Kioskmodus k nnen Benutzer eine Verbindung ber die Web portalseite herstellen So melden Sie sich unter Verwendung des Kioskmodus am Access Gateway an l Stellen Sie ber die Anmeldeseite eine Verbindung her siehe Herstellen einer Verbindung mit einer Webadresse auf Seite 152 Klicken Sie auf ffentlicher Computer Das Citrix Secure Access Anmeldedialogfeld wird angezeigt 2 Geben Sie Ihre Anmeldeinformationen ein und klicken Sie auf Login Hinweis Benutzer die im Kioskmodus angemeldet sind k nnen zum Herunterladen von Dateien aus dem Unternehmensnetzwerk das FTP Protokoll verwenden Dateien die im Rahmen einer Kiosksitzung heruntergeladen wurden k nnen nicht an das Unternehmensnetzwerk zur ckgesendet werden 160 Citrix Access Gateway Standard Editi
263. grafie FIPS Federal Information Processing Standard 140 ist ein Kryptografiestandard Mit dem SSL TLS Protokoll k nnen sicherheitskritische Daten ber ffentliche Netzwerke wie das Internet bertragen werden Dieses Protokoll bietet die folgenden wichtigen Sicherheitsfunktionen Authentifizierung Ein Client kann die Identit t eines Servers ermitteln und feststellen dass der Server kein Betr ger ist Optional kann ein Server auch die Identit t des Clients authentifizieren der Verbindungen anfordert Datenschutz Die zwischen dem Client und dem Server bertragenen Daten werden verschl sselt damit sie nicht entschl sselt werden k nnen falls Nach richten von Dritten abgefangen werden Datenintegrit t Der Empf nger verschl sselter Daten wei ob diese von einem Dritten manipuliert oder ge ndert wurden Einf hrung in die Kryptografie F r die sichere Daten bertragung nutzt das SSL TLS Protokoll Kryptografie Mit Kryptografie k nnen Nachrichten verschl sselt werden um die Vertraulichkeit zu gew hrleisten Kryptografie dient auch zur Authentifizierung der Identit t einer Nachrichtenquelle und zur Gew hrleistung der Integrit t ihres Inhalts Nachrichten werden mit einem Geheimcode einer sogenannten Verschl sse lungssammlung bertragen Mit der Verschl sselungssammlung wird eine Nach richt verschl sselt damit sie nur vom Absender und Empf nger verstanden werden kann Da nur der Empf nger der den Geheimco
264. gsliste f r die Benutzergruppe Vertriebsau endienst hinzuzuf gen l Klicken Sie im Access Gateway Administration Tool auf die Registerkarte Access Policy Manager 2 Erweitern Sie im linken Bereich den Eintrag User Groups und dann die Benutzergruppe Vertriebsau endienst Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 321 3 Erweitern Sie im rechten Bereich den Eintrag Network Resources 4 Klicken Sie auf die Netzwerkressource Vertriebsressource und ziehen Sie diese im linken Bereich auf den Knoten Network Policies unter der Benutzergruppe Vertriebsau endienst Hierdurch gew hrt der Administrator den mit dieser Benutzergruppe ver kn pften Benutzern Zugriff auf die Systeme die in der Netzwerkressource Vertriebsressource definiert sind Hinweis Im obigen Arbeitsschritt hat der Administrator die Netzwerk ressource Vertriebsressource der Zugriffssteuerungsliste der Benutzergruppe Vertriebsau endienst zugewiesen Zugriffssteuerungslisten werden vom Admi nistrator auf dem Access Gateway durch Hinzuf gen der mit der Benutzergruppe verkn pften Netzwerk Anwendungs Kiosk und Endpunktrichtlinien erstellt Die Zugriffssteuerungsliste besteht aus allen Richtlinien die einer Benutzer gruppe auf dem Access Gateway zugewiesen sind Erstellen und Zuweisen von Netzwerkressourcen f r die Benutzer im Bereich Technik In diesem Abschnitt wird kurz erl utert wie d
265. gt Scitrix_portal lt body gt lt html gt Installieren benutzerdefinierter Portalseitendateien Benutzerdefinierte Portalseiten und die Bilddateien auf die in den Vorlagen verwiesen wird m ssen auf dem Access Gateway installiert werden So w hlen Sie eine Portalseite aus 1 Klicken Sie auf der Registerkarte Portal Page Configuration auf die Registerkarte Portal Pages Klicken Sie auf Add File 2 Geben Sie im Feld File title den Titel der Datei ein die Sie hinzuf gen Mithilfe von Dateititeln k nnen Sie die Portalseite leicht mit einer Gruppe verkn pfen Es kann z B vorkommen dass Sie eine Hauptportalseite haben die von vielen Gruppen verwendet wird und eine separate Portal seite die nur G sten angezeigt wird In diesem Fall k nnen Sie die Dateien Hauptanmeldung und Gastanmeldung nennen Wenn Sie mehrere Portalseiten haben die bestimmten Benutzergruppen entsprechen bieten sich Namen wie Adminanmeldung Studentenanmeldung oder IT Anmeldung an 3 Wahlen Sie unter File Type ein Dateiformat aus Portalseiten m ssen HTML Dateien sein Bilder auf die auf einer HTML Seite verwiesen wird m ssen entweder im GIF oder im JPG Format vorliegen 4 Klicken Sie auf Upload File 5 Gehen Sie zur Datei und klicken Sie auf ffnen Die Datei wird auf das Access Gateway geladen Kapitel 9 Konfigurieren der Anmelde und Portalseiten f r den Secure Access Client 189 So entf
266. gurieren des Access Gateways und zum Gew hren oder Verweigern des Zugriffs auf Netzwerkressourcen unter Verwendung von Sitzungsrichtlinien verwendet werden Das Access Gateway setzt voraus dass die richtigen Stammzertifikate installiert werden die zum Signieren der Serverzertifikate verwendet werden Weitere Informationen zu Stammzertifikaten finden Sie unter Installieren von Stamm zertifikaten auf dem Access Gateway auf Seite 60 So legen Sie fest dass f r interne Clientverbindungen Serverzertifikate vorhanden sein m ssen Aktivieren Sie auf der Registerkarte Global Cluster Policies unter Select security options die Option Validate secure certificates for internal connections Verwenden von Platzhalterzertifikaten Das Access Gateway unterst tzt die Validierung von Platzhalterzertifikaten f r Secure Access Clients Platzhalterzertifikate sind am Sternchen in ihrem Namen erkennbar Sie k nnen eines der beiden folgenden Formate haben meinefirma com oder www meinefirma com Bei Verwendung eines Platz halterzertifikats k nnen die Clients zwischen unterschiedlichen Webadressen w hlen z B http www l meinefirma com oder http www2 meinefirma com Durch die Verwendung eines Platzhalterzertifikats kann ein Zertifikat f r mehrere Websites verwendet werden Beispiele fur die Konfiguration des Netzwerkzugriffs Nachdem Sie das Access Gateway installieren und fiir den Betrieb in Ihrer Netzwerkumgebung konfiguriert
267. h ftsbeziehungen zu einer ffentlichen Zertifizierungsstelle Unterst tzt das Windows Betriebssystem mehrere ffentliche Zertifizierungsstellen e Zertifikatkosten Ruf einer bestimmten ffentlichen Zertifizierungsstelle usw Ihr Unternehmen hat eine eigene Zertifizierungsstelle Wenn Ihr Unternehmen eine eigene Zertifizierungsstelle hat m ssen Sie fest legen ob es angemessen ist Ihre unternehmenseigenen Zertifikate f r die sichere Daten bertragung in Ihrer Access Gateway Installation zu verwenden Citrix empfiehlt dass Sie sich mit Ihrer unternehmenseigenen Sicherheitsabteilung in Verbindung setzen um diese Frage zu kl ren und n here Anweisungen zu erhal ten wie Sie Zertifikate erhalten Wenn Sie nicht sicher sind ob Ihr Unternehmen ber eine eigene Zertifizierungs stelle verf gt sollten Sie sich mit der Sicherheitsabteilung oder dem Sicherheits experten Ihres Unternehmens in Verbindung setzen Ihr Unternehmen hat keine eigene Zertifizierungsstelle Wenn Ihr Unternehmen keine eigene Zertifizierungsstelle hat m ssen Sie Ihre Zertifikate bei einer ffentlichen Zertifizierungsstelle wie beispielsweise VeriSign beantragen Die Beantragung eines digitalen Zertifikats bei einer ffentlichen Zertifizierungs stelle schlie t den folgenden Verifizierungsprozess ein Auf Basis der von Ihrem Unternehmen vorgelegten Unternehmensinforma tionen kann die Zertifizierungsstelle die vermeintliche Identit t Ihres U
268. h nicht zwingend erforderlich Zum Implementieren des Webinterface hinter dem Access Gateway m ssen Sie die Eigenschaften der Standardbenutzergruppe bzw die Eigenschaften der Gruppe f r die der Zugriff auf das Webinterface aktiviert werden soll bearbeiten So konfigurieren Sie das Webinterface auf dem Access Gateway l Klicken Sie auf der Registerkarte Access Policy Manager mit der rechten Maustaste auf eine Benutzergruppe und klicken Sie dann auf Properties 2 Wahlen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface 3 Geben Sie unter Path den Pfad Citrix Metaframe auth Login aspx ein Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 207 4 Geben Sie im Feld Web server die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein auf dem das Webinterface ausgef hrt wird Klicken Sie auf OK Bereitstellen des Webinterface im sicheren Netzwerk Bei dieser Bereitstellung befindet sich das Webinterface in dem vertrauens w rdigen Netzwerk Das Access Gateway befindet sich in der DMZ Benutzer anforderungen werden vom Access Gateway authentifiziert bevor Sie an das Webinterface gesendet werden Bei einer Bereitstellung des Webinterface im sicheren Netzwerk muss die Authentifizierung auf dem Access Gateway konfiguriert werden Benutzer melden sich am Access Gateway an geben ihre Anmeldeinformationen ein und werden dann mit dem Webinterface verbunden Wichti
269. haben k nnen Sie den Benutzerzugriff auf die Server Anwendungen und sonstigen Ressourcen im internen Netzwerk mit dem Administration Tool konfigurieren Das Konfigurieren des Benutzerzugriffs auf interne Netzwerkressourcen schlie t die folgenden Schritte ein Definieren zug nglicher Netzwerke fiir Split Tunne ling Konfigurieren von Authentifizierung und Autorisierung Erstellen von Benutzergruppen Erstellen von lokalen Benutzern und Definieren der Zugriffs steuerungslisten f r Benutzergruppen Hinweis Eine Zugriffssteuerungsliste ist ein Richtliniensatz mit der die Zugriffsstufe von Benutzern auf die Netzwerkressourcen festgelegt wird Das Access Gateway unterst tzt verschiedene Authentifizierungs und Autorisie rungstypen die sich in unterschiedlichen Kombinationen konfigurieren und mit Richtlinien verwenden lassen um den Benutzerzugriff auf das interne Netzwerk zu steuern Aufgrund der Vielzahl von Optionen und M glichkeiten bei der Konfiguration des Benutzerzugriffs auf das interne Netzwerk wird dieser Aspekt der Access Gateway Konfiguration in vier verschiedenen Abschnitten dieses Handbuchs behandelt Dieser Anhang enth lt Beispielszenarien f r den Benutzerzugriff und detaillierte Anweisungen wie Sie das Access Gateway schrittweise zur Unterst tzung der Zugriffsszenarios konfigurieren Diese Szenarios sind keine Beispiele f r echte Konfigurationen aus der Praxis sondern vielmehr als eine Art Lernprogramm geda
270. he digitale Zertifikat wird Serverzertifikat genannt Stammzertifikat Ein Stammzertifikat dient zur Identifizierung der Zertifizie rungsstelle die das Serverzertifikat signiert hat Das Stammzertifikat geh rt der Zertifizierungsstelle Anhand dieses digitalen Zertifikats berpr ft ein Clientger t das Serverzertifikat Beim Herstellen einer SSL Verbindung mit einem Webbrowser auf einem Client ger t leitet der Server sein Zertifikat an den Client weiter Bei Eingang eines Serverzertifikats pr ft der Webbrowser z B Internet Explorer auf dem Clientger t welche Zertifizierungsstelle das Zertifikat ausge stellt hat und ob diese Zertifizierungsstelle f r den Client vertrauensw rdig ist Wenn die Zertifizierungsstelle nicht vertrauensw rdig ist fordert der Webbrow ser den Benutzer auf das Zertifikat zu akzeptieren oder abzulehnen d h den Zugriff auf diese Website zu akzeptieren oder abzulehnen 296 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn Frau Meier jetzt eine Nachricht von Herrn M ller erh lt wird anhand der lokal gespeicherten Informationen ber die Zertifizierungsstelle gepr ft ob diese Zertifizierungsstelle das Zertifikat auch tats chlich ausgestellt hat Diese Infor mationen sind eine Kopie des eigenen Zertifikats der Zertifizierungsstelle und werden als Stammzertifikat bezeichnet In der Regel haben Zertifikate ein gemeinsames Format das normalerweise auf ITU Standards basiert Ze
271. ht hervor ob die Datei sdconf rec bereits hochgeladen wurde Wenn dies der Fall ist und Sie diese Datei ersetzen m ssen klicken Sie auf Upload sdconf rec File Gehen Sie zu der Datei und klicken Sie auf ffnen um die Datei hochzuladen Wenn ein Client zum ersten Mal erfolgreich authentifiziert wird erstellt und speichert der RSA ACE Server einige Konfigurations dateien auf dem Access Gateway Wird anschlie end die IP Adresse des Access Gateways ge ndert klicken Sie auf Remove ACE Configuration Files f hren Sie nach entsprechender Aufforderung einen Neustart durch und laden Sie dann eine neue Datei sdconf rec Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 103 hoch Es werden die Dateien sdconf rec securid und sdstatus entfernt hs Klicken Sie auf Submit F r die RSA SecureID Authentifizierung k nnen Sie die folgenden Autorisie rungstypen verwenden RSA Autorisierung Lokale Autorisierung LDAP Autorisierung Keine Autorisierung Konfigurieren der RSA Einstellungen f r einen Cluster Wenn Sie zwei oder mehr Ger te als Cluster konfiguriert haben muss die Datei sdconf rec die vollqualifizierten Dom nennamen aller Ger te enthalten Die Datei sdconf rec wird auf einem Access Gateway installiert und dann ver ffentlicht Dadurch k nnen alle Ger te eine Verbindung zum RSA Server herstellen Sie k nnen auch einschr nken mit welchen Ger ten die Benutzer Verbindungen zum RSA Server he
272. icherzustellen dass Benutzer Verbindungen zum Access Gateway nur von Computern aus herstellen die bestimmte Kriterien erf llen So k nnen Sie z B festlegen dass ein Computer bestimmte Registrierungseintr ge Dateien und oder aktive Prozesse haben muss 132 Citrix Access Gateway Standard Edition Administratorhandbuch Jede Endpunktregel legt dabei fest dass ein Computer tiber eines mehrere oder alle der folgenden Merkmale verf gen muss Einen Registrierungseintrag der dem von Ihnen festgelegten Pfad Eintragstyp und Wert entspricht Eine Datei die dem von Ihnen festgelegten Pfad Dateinamen und Datum entspricht F r die Datei kann auch eine Pr fsumme angegeben werden Ein von Ihnen festgelegter laufender Prozess F r den Prozess kann auch eine Pr fsumme angegeben werden Endpunktrichtlinien werden auf die einzelnen Gruppen angewendet indem ein boolescher Ausdruck festgelegt wird in dem die Endpunkt Ressourcennamen verwendet werden Weitere Informationen hierzu finden Sie unter Erstellen einer Endpunktrichtlinie f r eine Gruppe auf Seite 133 So erstellen Sie eine Endpunktressource 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf End Point Resources und klicken Sie dann auf New End Point Resource 3 Geben Sie einen Namen ein und klicken Sie dann auf OK 4 W hlen Sie unter End point scan type den gew nschten Regeltyp aus
273. icht dasselbe SSL Serverzertifikat verwenden In diesem Fall m ssen Sie jeweils ein anderes SSL Serverzertifikat auf den einzelnen Access Gateway Ger ten installieren Sie k nnen die SSL Zertifikatsanforderung f r die Access Gateway Failoverger te mit der Funktion Certificate Signing Request im Administration Tool erstellen Weitere Informationen hierzu finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 282 Citrix Access Gateway Standard Edition Administratorhandbuch Uberwachen des Access Gateways In den folgenden Themen wird beschrieben wie Sie die Access Gateway Proto kolle und Netzwerk berwachungstools f r das Access Gateway verwenden e Anzeigen und Herunterladen von Systemmeldungsprotokollen Aktivieren und Anzeigen von SNMP Protokollen Anzeigen von Systemstatistiken berwachen der Access Gateway Operationen Anzeigen und Herunterladen von Systemmeldungsprotokollen F r das Access Gateway gibt es zwei Arten der Protokollierung S mtliche Proto kolle werden lokal gespeichert und k nnen im Administration Tool oder im Administration Portal angezeigt werden Bei Bedarf k nnen diese Informationen auch an einen Systemprotokollserver gesendet werden Systemmeldungsprotokolle enthalten Informationen die den Access Gateway Supportmitarbeitern die Fehlersuche und beseitigung erleichtern k nnen Durch Pr fung der bereitgestellten Informationen k nnen Sie nderungen verfolgen
274. icies Authentication Access Policy Manager Nachstehend finden Sie eine Liste der in diesem Kapitel beschriebenen Konfigurationsbeispiele f r den Benutzerzugriff Konfigurieren der LDAP Authentifizierung und Autorisierung Bei diesem Beispiel wird schrittweise erl utert wie ein Administrator den Zugriff auf interne Netzwerkressourcen in einer LDAP Umgebung gew hren k nnte Erstellen von Gastkonten mit der Liste Local Users In diesem Beispiel wird das Szenario f r das Konfigurieren der LDAP Authentifizierung und Autorisierung erweitert um das Konzept der lokalen Benutzer zu erl utern Konfigurieren der lokalen Autorisierung In diesem Beispiel wird das Konzept der lokalen Autorisierung erl utert indem die im Szenario f r das Erstellen von Gastkonten beschriebene Konfiguration mit der Liste Local Users geringf gig ge ndert wird Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 309 Konfigurieren der LDAP Authentifizierung und Autorisierung Dieses Beispiel veranschaulicht wie ein Administrator mit den Einstellungen im Administration Tool den Benutzerzugriff konfigurieren k nnte Das Unternehmen verwendet nur ein LDAP Verzeichnis als Benutzerrepository Remotebenutzer die f r die Vertriebsabteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver eine Webanwendung f r den Vertrieb und mehrere Dateiserver im internen Netzwerk haben Remotebenutze
275. ie das Access Gateway nach der Zeichenfolge f r die RIP Authentifizierung abh ren soll W hlen Sie hierzu unter Routing Interface die Option Interface 0 Interface 1 oder Both 4 Aktivieren Sie das Kontrollk stchen RIP Authentication String for Interface 5 Geben Sie in das Textfeld die Authentifizierungs Zeichenfolge ein die der RIP Server tibermittelt Achten Sie dabei auf die exakte Schreibweise und auf die Gro und Kleinschreibung 6 Falls der RIP Server die Authentifizierungs Zeichenfolge mit MD5 verschl sselt aktivieren Sie das Kontrollk stchen Enable RIP MD5 Authentication for Interface Aktivieren Sie diese Option nicht wenn der RIP Server die Authentifizie rungs Zeichenfolge als reinen Text bermittelt be Klicken Sie auf Submit Wechseln von dynamischem Routing zu statischem Routing Bevor Sie von dynamischem Routing zu statischem Routing wechseln sollten Sie die dynamischen Routen in der statischen Routentabelle speichern Mit dieser Option werden die aktuellen RIP Daten zum dynamischen Routing als statische Routen gespeichert Wenn Sie von dynamischem Routing zu statischem Routing wechseln und zuvor statische Routen erstellt hatten werden die statischen Routen in der Routing tabelle des Access Gateways aufgefiihrt F r den Fall dass diese statischen Routen nicht mehr g ltig sind oder noch keine statischen Routen erstellt wurden geht unter Umst nden der Remotezugriff auf das Administration Tool verl
276. ie sich anmelden k nnen So testen Sie Single Sign On am Webinterface l Geben Sie in einem Webbrowser https AccessGatewayFQDN ein wobei AccessGatewayFQDN der vollqualifizierte Dom nenname FQDN des Access Gateways ist Melden Sie sich mit denselben Benutzeranmeldeinformationen wie in Active Directory an Bei der Anmeldung werden Sie zum Webinterface in der Standardgruppe oder der Gruppe mit der h chsten Priorit t der der Benutzer angeh rt weitergeleitet Die Anwendungen werden ohne weitere Authentifizierung automatisch angezeigt Beim Starten einer ver ffentlichten Anwendung sollte der Presentation Server Client den Verkehr durch das Access Gateway Gerat an Server in der Farm weiterleiten 222 Citrix Access Gateway Standard Edition Administratorhandbuch Aktivieren der Sitzungszuverlassigkeit Die Sitzungszuverlassigkeit halt ICA Sitzungen aktiv und sorgt daftir dass sie auf dem Bildschirm des Benutzers verbleiben wenn die Netzwerkverbindung unterbrochen ist Die Sitzungszuverlassigkeit wird unter Verwendung der Secure Gateway 3 0 Einstellungen im Webinterface in der Citrix Access Management Console konfiguriert ffnen Sie zum Aktivieren der Sitzungszuverl ssigkeit Port 2598 in der internen Firewall So aktivieren Sie die Sitzungszuverl ssigkeit im Webinterface l Klicken Sie in der Access Management Console unter Webinterface auf die Webinterface Site Klicken Sie unter H ufige Tasks auf Siche
277. ient Certificate unter Client certificate criteria expression die Zertifikatsinformationen ein Klicken Sie auf OK Verwenden von Clientzertifikaten mit Access Gateway Advanced Edition Sowohl f r das Access Gateway als auch f r die Server auf denen Advanced Edition ausgef hrt wird kann die Verwendung sicherer Clientzertifikate ange fordert werden Beachten Sie die folgenden Hinweise beim Konfigurieren der Verwendung von Clientzertifikaten Der Secure Access Client kann Zertifikate aus dem Windows Benutzer profil von einer Smartcard oder einem Hardwaretoken lesen das die Microsoft Crypto API unterst tzt Das Clientzertifikat stellt keine Authentifizierung des Benutzers dar sondern fungiert lediglich als zus tzliche Clientbedingung z B ein End punktscan Die Benutzer m ssen nach wie vor ihr Kennwort oder ihren Tokencode eingeben Wenn das Access Gateway so konfiguriert ist dass Clientzertifikate angefordert werden kann das Access Gateway ber die Citrix Presentation Server Clients keine direkten Verbindungen mehr zu Citrix Presentation Server herstellen Der Secure Access Client muss ICA Verbindungen ber das Access Gateway herstellen Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 179 Installieren von Stammzertifikaten Auf allen Clientger ten die ber das Access Gateway eine Verbindung zum sicheren Netzwerk herstellen muss ein Stammzertifikat vorliegen Das Windows Betriebssyst
278. ieren von Lastausgleich und Failover k nnen Sie wahlweise weitere Ger te in den Cluster aufnehmen dies ist jedoch nicht zwingend erforderlich In diesem Kapitel wird vorausgesetzt dass Sie die folgenden Aufgaben bereits erledigt haben Sie haben auf jedem Access Gateway die TCP IP Einstellungen auf der Registerkarte General Networking konfiguriert Sie haben auf einem Access Gateway im Netzwerk eine Lizenz installiert dem Lizenzserver Ein Access Gateway im Netzwerk kann als Lizenzserver fungieren Die Lizenz ist auf einem der Ger te installiert Die anderen Ger te sind so konfiguriert dass sie ihre Lizenzen vom Lizenzserver abrufen Sie haben die anderen Ger te so konfiguriert dass sie eine Verbindung zum Lizenzserver herstellen und die notwendigen Lizenzen abrufen Die anderen im Netzwerk installierten Ger te k nnen auch dann Lizenzen abrufen wenn sie nicht zum Cluster geh ren Weitere Informationen zur Lizenzierung finden Sie unter Installieren von Lizenzen auf Seite 49 Sie haben auf jedem Access Gateway ein signiertes sicheres Zertifikat von einer Zertifizierungsstelle installiert Jedes Ger t im Cluster muss einen eindeutigen vollqualifizierten Dom nen namen besitzen Werden die Ger te in einem Cluster hinter einem Load Balancer bereitgestellt muss auf jedem Ger t dasselbe SSL Serverzertifi kat mit demselben vollqualifizierten Dom nennamen installiert sein Falls die Ger te in einem Cluster
279. ierten Dom nennamen ein der auf der Registerkarte General Networking aufgef hrt ist Geben Sie unter Password das Kennwort f r den privaten Schl ssel ein 58 Citrix Access Gateway Standard Edition Administratorhandbuch 3 Es wird eine CSR Datei erstellt Speichern Sie die CSR Datei auf dem lokalen Computer 4 Senden Sie das Zertifikat per E Mail an die Zertifizierungsstelle Der Zertifikatsanbieter sendet Ihnen per E Mail ein signiertes Zertifikat zur ck Installieren Sie dieses signierte Zertifikat auf dem Access Gateway Hinweis Beim Speichern der Access Gateway Konfiguration werden auch alle bereits installierten Zertifikate mit gesichert Nachdem Sie die Zertifikatsanforderung an die Zertifizierungsstelle gesendet haben f hren Sie die nachfolgenden Aufgaben auf dem Access Gateway erst dann wieder aus wenn Sie das signierte Zertifikat auf dem Ger t installiert haben Erstellen einer weiteren Zertifikatsignieranforderung Hochladen einer gespeicherten Konfigurationsdatei Ver ffentlichen von Konfigurationseinstellungen von einem anderen Ger t im Cluster Wichtig Wenn Sie ein Zertifikat erstellt und an die Zertifizierungsstelle gesen det haben erstellen Sie keine weitere Zertifikatsignieranforderung Das Access Gateway kann nur einen privaten Schl ssel speichern Wird die Zertifikatsignier anforderung erneut ausgef hrt wird der private Schl ssel berschrieben und das signierte Zertifikat
280. ierung 295 Client 120 176 177 Double Hop DMZ Bereitstellung 234 Einstellungen 58 Erneuern 298 F r mehrere Ebenen generieren 304 Hierarchie 296 In PEM Format umwandeln 302 Inhalt 296 Installation 55 300 Installieren mit Administration Portal 59 Installieren mit Administration Tool 58 Installieren von einem Windows Computer aus 60 Kennwort f r privaten Schl ssel 57 Ketten 296 Kombinieren mit privatem Schl ssel 304 LDAP Verbindungen 93 Mehrere Ebenen und SSL Version 2 337 Mehrere Stammzertifikate 61 Mehrere Stammzertifikate ber Eingabeaufforderung erstellen 62 Privat 299 Privaten Schl ssel entschl sseln 302 Serverzertifikat 295 Signieren 335 Sperrlisten 298 Stammzertifikat 295 Stammzertifikate 60 179 Stammzertifikate unter Windows installieren 179 Testzeitraum 300 Testzertifikat 300 Untergeordnete Zertifizierungsstellen 297 Verifizierungsprozess 299 Wiederherstellen des Standardzertifikats mit der seriellen Konsole 43 Zertifikatketten 296 Zertifikatsignieranforderung 56 Zur cksetzen auf Standardzertifikat 59 Zwischenzertifizierungsstellen 297 512 Bit Schl sselpaare 337 Zertifikatketten 296 Zertifikatsignieranforderung Erstellen 57 bersicht 56 Zertifikatsperrlisten 298 335 Zertifizierungsstelle Stammzertifikat abrufen 179 Zertifizierungsstellen 295 296 Offentlich 299 Privat 299 Untergeordnete Zertifizierungsstellen 296 ZoneAlarm Pro 270 Zubeh r Access Gateway Installation 40 Double Hop DMZ Bereitstellung 234
281. ifikat installiert sein das von der gleichen Zertifizierungs stelle signiert ist wie das Serverzertifikat auf dem Access Gateway in der zweiten DMZ 248 Citrix Access Gateway Standard Edition Administratorhandbuch Die Tabelle zeigt welche Verbindungen durch die dritte Firewall hergestellt werden und welche SSL Zertifikate zum Verschltisseln der einzelnen Verbindun gen erforderlich sind Die Verschl sselung dieser Verbindungen erh ht die Sicherheit ist jedoch nicht zwingend erforderlich Verbindungen durch die dritte Firewall F r die Verschl sselung erforderliche Zertifikate Das Webinterface in der zweiten DMZ stellt eine Verbindung zum XML Dienst auf einem Presentation Server im internen Netzwerk her Wenn der XML Dienst auf einem Microsoft IIS Server Internet Information Services auf dem Presentation Server Computer ausgef hrt wird muss ein SSL Serverzertifikat auf dem IIS Server installiert sein Wenn der XML Dienst ein Windows Standarddienst ist also sich nicht in IIS befindet muss im SSL Relay auf dem Computer auf dem Citrix Presentation Server ausgef hrt wird ein SSL Serverzertifikat installiert sein Auf dem Webinterface muss ein Stammzertifikat installiert sein das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat das auf dem Microsoft IIS Server oder im SSL Relay installiert ist Kapitel 11 Bereitstellen des Access Gateways in e
282. ifikaten auf dem Access Gateway auf Seite 60 Wenn Sie beispielsweise das Access Gateway mit Citrix Presentation Server und mit dem Webinterface installieren k nnen Sie Verbindungen vom Access Gateway zum Webinterface mit SSL verschl sseln Bei dieser Konfiguration muss ein vertrauensw rdiges Stammzertifikat auf dem Access Gateway installiert werden Weitere Informationen finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 und Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 291 28 Access Gateway Standard Edition Administratorhandbuch Unterstutzung bei der Authentifizierung Sie k nnen das Access Gateway so konfigurieren dass die Benutzer authentifi ziert werden und damit die Zugriffsstufe Autorisierungsstufe der Benutzer auf die Netzwerkressourcen im internen Netzwerk gesteuert wird Vor der Bereitstellung des Access Gateways sollten Sie alle Unternehmens verzeichnisse und die Authentifizierungsserver in der Netzwerkumgebung einrichten die zur Unterst tzung einer der folgenden Authentifizierungsarten erforderlich sind LDAP RADIUS RSA SecurID NTLM SafeWord Produkte von Secure Computing Falls Ihre Umgebung die oben genannten Authentifizierungsarten nicht unter st tzt oder nur wenige Remotebenutzer vorhanden sind k nnen Sie eine Liste lokaler Benutzer auf dem Access Gateway anlegen und das Access Gateway so konfigurieren dass die Benutzer anhand di
283. ihren Benutzernamen und das Kennwort ein und klicken dann auf Anmelden Das Kiosk Fenster wird ge ffnet Standard m ig ist diese Option nicht verf gbar Weitere Informationen zum Akti vieren des Kioskmodus finden Sie unter Verbindungen im Kioskmodus auf Seite 157 Wenn Sie den Secure Access Client f r die automatische Anmeldung an Windows konfiguriert haben wird der Client gestartet sobald die Benutzer ihre Windows Anmeldeinformationen eingegeben haben Diese Anmeldeinformatio nen werden auch f r den Secure Access Client verwendet Das bedeutet dass die Benutzer beim Starten des Computers die Authentifizierung nicht wiederholen m ssen um eine Verbindung herzustellen vorausgesetzt die Benutzer verf gen ber eine Netzwerkverbindung und sie k nnen sich an Windows anmelden Weitere Informationen zur Konfiguration der Single Sign On Funktion unter Windows finden Sie unter Konfigurieren von Single Sign on f r Windows Betriebssysteme auf Seite 149 74 Citrix Access Gateway Standard Edition Administratorhandbuch Installieren des Secure Access Client fur Linux Wenn Sie eine Verbindung von einem Linux Computer aus herstellen klicken Sie auf den Linux Downloadlink Damit wird der Downloadvorgang gestartet und Sie erhalten Anweisungen zum Installieren des Clients Hinweis Der Secure Access Client ben tigt die Linux Pakete tcl und tk Neben dem Befehl net6vpn login mit dem das Anmeldedialogfeld f r den S
284. ine Benutzergruppe und klicken Sie dann auf Properties 2 Deaktivieren Sie auf der Registerkarte General unter Application Options die Option Deny applications without policies 3 Klicken Sie auf OK und schlie en Sie das Dialogfeld Properties 4 Klicken Sie mit der rechten Maustaste im rechten Bereich auf Application Policies und klicken Sie dann auf New Application Policy 5 Geben Sie einen Namen f r die Richtlinie ein und klicken Sie auf OK 6 Geben Sie im Bereich Application resource unter Application den Anwendungsnamen ein oder klicken Sie auf Browse um die Anwendung Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 131 zu suchen und auszuw hlen Wenn dieses Feld ausgef llt ist wird das Feld MD5 automatisch ausgef llt 7 Wenn Sie die Anwendung auf einen bestimmten Netzwerkpfad beschr n ken m chten klicken Sie unter Network Resources auf eine Netzwerk ressource und ziehen Sie sie dann auf Application network policies Andere konfigurierte Netzwerkressourcen m ssen bereits einer Benutzer gruppe angeh ren und f r sie muss die Option Deny festgelegt sein Klicken Sie dazu im linken Bereich unter Network Policies in der Gruppe mit der rechten Maustaste auf die entsprechende Netzwerkressource und klicken Sie dann auf Deny Klicken Sie auf OK 8 Klicken Sie auf die Anwendungsrichtlinie und ziehen Sie sie auf die Benutzergruppe f r die sie gilt Benutzer k nnen Zugriff auf alle internen Ne
285. inem Grund fehlschlagt gibt das Access Gateway eine Request timed out Fehlermeldung zur ck Wenn ein Client versucht das Access Gateway zu pingen sendet es immer ein ICMP Standardpaket an den Remotezielhost Samtliche Clientoptionen wie z B das Erh hen der Gr e der ICMP Nutzlast werden vom Access Gateway nicht anerkannt und auch nicht an den Remotehost gesendet Ping Befehl Das Access Gateway sendet grunds tzlich denselben ping Befehl aus und dies unabh ngig von den Optionen die beim Pingen von einem Clientger t aus angegeben werden LDAP Authentifizierung Wenn das Access Gateway fiir die Verwendung der LDAP Authentifizierung und Autorisierung konfiguriert ist werden die LDAP Gruppeninformationen nicht zum automatischen Ausf llen des Gruppenfelds im Administration Tool verwendet Endpunktrichtlinien Bei der Auswertung der Kombination von Endpunktrichtlinien einer Gruppe ber cksichtigt das Access Gateway nicht die Gruppenpriorit ten sodass mitein ander in Konflikt stehende Richtlinien u U nicht korrekt aufgel st werden Nur die Richtlinie die im Ausdruck zuletzt aufgef hrt wird gilt Wenn z B f r eine Gruppe die Richtlinie ProzessA und f r eine andere Gruppe die Richtlinie ProzessA gilt und die Kombination aus diesen beiden Richtlinien ProzessA and ProzessA lautet gilt nur die Richtlinie ProzessA Netzwerkressourcen Bei hinzugef gten Netzwerkressourcen erkennt das Acces
286. iner Double Hop DMZ 249 Das Webinterface in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority auf einem Computer im internen Netzwerk her auf dem Citrix Presentation Server ausgef hrt wird Das Zertifikat f r diese Verbindung wird auf die gleiche Weise verwaltet wie die oben beschriebene Verbindung vom Webinterface zum XML Dienst Zum Verschl sseln dieser Verbindung k nnen Sie dieselben Zertifikate verwenden Das Serverzertifikat muss auf dem Microsoft IIS Server oder im SSL Relay installiert sein Ein entsprechendes Stammzertifikat muss auf dem Webinterface installiert sein Das Access Gateway in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority auf einem Computer im internen Netzwerk her auf dem Citrix Presentation Server ausgef hrt wird Das SSL Serverzertifikat f r die Secure Ticket Authority wird bei dieser Verbin dung auf die gleiche Weise verwaltet wie bei den beiden weiter oben in dieser Tabelle genannten Verbindungen Das Serverzertifikat muss auf dem Microsoft IIS Server oder im SSL Relay installiert sein Auf dem Access Gateway in der zweiten DMZ muss ein Stammzertifikat installiert sein das von der gleichen Zertifizierungs stelle signiert ist wie das Serverzertifikat das von der Secure Ticket Authority und vom XML Dienst verwendet wird Das Access Gateway in der zweiten DMZ stellt eine ICA Verbindung zu einer ver ffentlichten Anwendung auf einem Co
287. ingetragene Marke von McAfee Inc Symantec und das Symantec Logo sind in den USA und bestimmten anderen L ndern Marken oder eingetragene Marken der Symantec Corporation ZoneAlarm ist eine Marke oder eingetragene Marke von Zone Labs LLC in den USA und anderen L ndern Win32 Client Teile dieser Software basieren auf Code der O Reilly Media Inc 1998 CJKV Information Processing von Ken Lunde ISBN 1565922247 Alle Rechte vorbehalten Lizenzierung Teile dieser Dokumentation ber Globetrotter Macrovision und FLEXIm sind urheberrechtlich gesch tzt von 2005 Macrovision Corporation Alle Rechte vorbehalten Anerkennung von Marken Adobe Acrobat und PostScript sind Marken oder eingetragene Marken von Adobe Systems Incorporated in den USA und oder anderen L ndern Apple LaserWriter Mac Macintosh Mac OS und Power Mac sind eingetragene Marken oder Marken von Apple Computer Inc SafeWord Remote Access SafeWord for Citrix und SafeWord PremierAccess sind eingetragene Marken oder Marken der Secure Computing Corporation Java Sun und SunOS sind Marken oder eingetragene Marken von Sun Microsystems Inc in den USA und anderen L ndern Solaris ist eine eingetragene Marke von Sun Microsystems Inc die dieses Produkt nicht getestet oder anerkannt haben Microsoft MS DOS Windows Windows Media Windows Server Windows NT Windows 2000 Professional Windows 2000 Server Windows XP Home Edition Windows XP Professional Windows Se
288. insame geheime RADIUS Schl ssel bestehen aus willk rlichen Folgen von Gro und Kleinbuchstaben Zahlen und Zeichen und sind mindestens 22 Zeichen lang Verwenden Sie m glichst ein Programm um die gemeinsamen geheimen RADIUS Schl ssel zu generieren Um den Datenverkehr auf dem RADIUS Server noch besser zu sch tzen k nnen Sie jedem Access Gateway Ger t einen anderen gemeinsamen geheimen Schl s sel zuweisen Wenn Sie auf dem RADIUS Server Clients definieren k nnen Sie auch jedem Client einen separaten gemeinsamen geheimen Schl ssel zuweisen Dazu m ssen Sie jeden Access Gateway Bereich der die RADIUS Authentifi zierung verwendet einzeln konfigurieren Wenn Sie die Konfigurationen mehre rer Access Gateway Ger te in einem Cluster synchronisieren wird allen Ger ten der gleiche geheime Schl ssel zugewiesen Gemeinsame geheime Schl ssel werden auf dem Access Gateway konfiguriert wenn ein RADIUS Bereich erstellt wird Hinweis Wenn Sie Access Gateway Advanced Edition verwenden m ssen Sie vor der Zuweisung von gemeinsamen geheimen RADIUS Schl sseln auf den Servern auf denen die Advanced Access Control ausgef hrt wird und die zum Authentifizieren der Benutzer RADIUS verwenden ein RADIUS Authentifizie rungsprofil konfigurieren Weitere Informationen zu Authentifizierungsprofilen finden Sie im Administratorhandbuch f r Access Gateway Advanced Edition 100 Citrix Access Gateway Standard Edition Administratorhandbuch
289. instellungen festlegen Bei Bereichsnamen ist auf die Gro und Klein schreibung zu achten Dar ber hinaus k nnen sie Leerzeichen enthalten W hlen Sie unter Authentication type die Option RADIUS authentication und klicken Sie auf OK Das Dialogfeld f r den Authentifizierungsbereich wird ge ffnet Geben Sie unter IP Address die IP Adresse des RADIUS Servers ein Geben Sie im Feld Port die Portnummer ein Die Standardportnummer ist 1812 98 Citrix Access Gateway Standard Edition Administratorhandbuch 6 Geben Sie im Feld Server secret den geheimen RADIUS Schl ssel ein Der geheime Serverschl ssel wird auf dem RADIUS Server und auf dem Access Gateway manuell konfiguriert Wichtig Achten Sie darauf dass der geheime Serverschl ssel stark genug ist Ein geheimer Schl ssel ist stark wenn er aus mindestens acht Zeichen besteht und sich aus Buchstaben Ziffern und Symbolen zusammensetzt 7 Wenn Sie einen sekund ren RADIUS Server verwenden geben Sie die IP Adresse den Port und den geheimen Schl ssel dieses Servers ein RADIUS Autorisierung F r die RADIUS Authentifizierung k nnen Sie die folgenden Autorisierungs typen verwenden RADIUS Autorisierung Lokale Autorisierung LDAP Autorisierung Keine Autorisierung So konfigurieren Sie RADIUS Autorisierung 1 Klicken Sie auf die Registerkarte Authentication und ffnen Sie den Bereich f r den Sie RADIUS Autorisierung konfigurieren m chten
290. ite angezeigt wird auf der diese w hlen k nnen ob sie sich ber den Secure Access Client das Webinter face oder den Kioskmodus anmelden m chten Diese Portalseite kann im Gegen satz zur Standardportalseite nicht konfiguriert werden Dem Benutzer werden drei Symbole angezeigt und er kann dann w hlen mit welchem der folgenden Verfahren er sich am Access Gateway anmelden m chte LOESCHEN Secure Access Client Dieses Symbol startet den Secure Access Client Nach der Anmeldung des Clients wird das Webinterface angezeigt Webinterface Anmeldung Mit diesem Symbol wird der Benutzer zum Webinterface weitergeleitet Kioskverbindung Mit diesem Symbol kann sich der Benutzer im Kioskmodus anmelden Kapitel 9 Konfigurieren der Anmelde und Portalseiten f r den Secure Access Client 191 Diese Portalseite wird nur dann angezeigt wenn auf der Registerkarte Gateway Portal die Optionen Redirect to Web Interface und Use the multiple logon option page aktiviert sind So konfigurieren Sie mehrere Anmeldeoptionen 1 Klicken Sie mit der rechten Maustaste im linken Bereich der Registerkarte Access Policy Manager auf eine Gruppe und klicken Sie dann auf Properties 2 Wahlen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface 3 Geben Sie im Feld Path den Pfad des Servers ein auf dem das Webinterface gehostet wird Die Standardeinstellung ist Citrix MetaFrame auth Login aspx 4 Geben Sie im Feld Web server di
291. itrix Access Gateway Standard Edition Administratorhandbuch Knowledge Center Watches Im Citrix Knowledge Center haben Sie die M glichkeit sogenannte Watches zu konfigurieren Mit diesen Watches werden Sie benachrichtigt wenn das Thema fiir das Sie sich interessieren aktualisiert wurde Die Watches helfen Ihnen dabei stets auf dem Laufenden zu bleiben wenn es in der Knowledge Base und in den Foren neue Informationen gibt Sie k nnen Watches fiir Produktkategorien Dokumenttypen einzelne Dokumente sowie f r Forum Produktkategorien und einzelne Forenthemen einrichten Um eine Updatebenachrichtigung einzurichten melden Sie sich bei der Citrix Support Website an http support citrix com Klicken Sie dann oben rechts auf My Watches und folgen Sie den Anweisungen Schulung und Zertifizierung Citrix bietet eine Reihe von unterrichteten ILT engl instructor led training und webbasierten Kursen WBT engl web based training Die von einem Schu lungsleiter durchgef hrten ILT Kurse werden von Citrix Authorized Learning Centers CALCs angeboten CALCs bieten hochwertige Schulungen mit den professionellen Schulungsmaterialien von Citrix Viele diese Kurse bereiten auf eine Zertifizierung vor Webbasierte Schulungskurse werden auch von CALCs Wiederverk ufern und ber die Website von Citrix angeboten Informationen zu Programmen und Courseware f r Citrix Schulungen und Zertifizierungen finden Sie unter http www citrix com ed
292. itrix com Das Knowledge Center bietet Folgendes e Eine Knowledge Base mit technischen L sungen zur Unterst tzung der Citrix Umgebung Eine Onlinebibliothek der Produktdokumentation Interaktive Support Foren f r jedes Citrix Produkt Zugang zu den neuesten Hotfixes und Service Packs Security Bulletins Onlineproblemmeldung und verfolgung f r Organisationen mit g ltigen Supportvertr gen Eine andere Supportquelle Citrix Preferred Support Services bietet eine Reihe von Optionen sodass Sie den Grad und die Art von Support f r die Citrix Produkte in Ihrer Organisation anpassen k nnen Subscription Advantage Ihr Produkt schlie t das Abonnement Subscription Advantage f r ein Jahr ein Citrix Subscription Advantage bietet eine einfache M glichkeit stets die aktuellen Softwareversionen und Informationen f r Ihre Citrix Produkte zu haben Abonnenten erhalten nicht nur automatisch Zugriff auf den Download der neuesten Feature Release Versionen Softwareupgrades und Erweiterungen die w hrend der Laufzeit des Abonnements verf gbar werden sondern haben auch bevorzugten Zugang zu wichtigen technischen Informationen von Citrix Die Dokumentation ist auch von der Citrix Website erh ltlich http www citrix com services klicken Sie auf Subscription Advantage Weitere Informationen erhalten Sie auch von Ihrem Vertragsh ndler Citrix Customer Care oder einem Mitglied des Citrix Solutions Advisors Programms 16 C
293. itrix_username Name des angemeldeten Benutzers citrix_portal Links zum Secure Access Client und zum Kioskmodus citrix_portal_full_client only Link nur zum Secure Access Client citrix_portal_kiosk_client_only Link nur zum Kioskmodus citrix_activex_object_ include F gt das ActiveX Steuerelement ein das die Clientportalseite startet Kapitel 9 Konfigurieren der Anmelde und Portalseiten f r den Secure Access Client 187 Pro Vorlage darf nur eine der drei Variablen enthalten sein die mit citrix_portal beginnen Bei der Auswahl einer Vorlage fiir eine bestimmte Gruppe m ssen Sie nur wissen ob die Gruppe Zugriff auf den Secure Access Client und den Kioskmodus oder aber nur auf einen dieser Clients haben soll Das Access Gateway erkennt automatisch die Plattform des Benutzers Windows Linux Java und f gt in die Vorlagen die Sie auf das Access Gateway hochladen die entsprechenden Links ein So laden Sie die Portalseitenvorlagen auf den lokalen Computer herunter 1 Klicken Sie im Administration Portal auf Downloads 2 Klicken Sie unter Download a sample portal page template that includes mit der rechten Maustaste auf einen der Links klicken Sie auf Ziel speichern unter und geben Sie im Dialogfeld das sich daraufhin ffnet einen Speicherort an So arbeiten Sie mit den Vorlagen f r Windows und Linux Benutzer 1 berlegen Sie sich wie viele benutzerdefinierte Portalseiten Sie ben tigen Portalseiten
294. k nnen Sie die Authentifizierung auf dem Access Gateway deaktivieren und dem Webinterface weiterhin erlauben f r den eingehenden HTTP Verkehr die SafeWord Authentifizierung bereitzustellen Weitere Informationen zum Konfigurieren des Webinterface finden Sie unter Bereitstellen von Zugriff auf ver ffentlichte Anwendungen auf Seite 193 Das Access Gateway unterst tzt SafeWord Authentifizierung f r die folgenden Secure Computing Produkte SafeWord PremierAccess SafeWord for Citrix SafeWord RemoteAccess Es gibt mehrere M glichkeiten das Access Gateway f r die Authentifizierung mit den SafeWord Produkten von Secure Computing zu konfigurieren Authentifizierung mit einem PremierAccess RADIUS Server der zusam men mit SafeWord PremierAccess installiert und f r die Authentifizierung zugelassen wird e Authentifizierung mit einem SafeWord IAS Agent der eine Komponente von SafeWord RemoteAccess SafeWord for Citrix und SafeWord PremierAccess 4 0 ist Installation des SafeWord Webinterface Agents der mit dem Citrix Webinterface zusammenarbeitet Die Authentifizierung muss nicht auf dem Access Gateway konfiguriert werden und kann vom Citrix Webinterface bernommen werden In dieser Konfiguration werden weder der PremierAccess RADIUS Server noch der SafeWord IAS Agent verwendet Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 105 Konfigurieren der SafeWord Einstellungen auf dem Access Gateway B
295. k nnen f r mehrere Gruppen verwendet werden Anmeldeseite Clients fiir die Links eingefiigt werden vpnAndKioskClients html Secure Access Client und Kioskverbindungen vpnClientOnly html Nur Secure Access Client kioskClientOnly html Nur Kioskverbindungen 2 Erstellen Sie Kopien der Vorlagen die Sie verwenden m chten und geben Sie ihnen einen Namen mit der Dateierweiterung html 3 ffnen Sie die Datei im Windows Editor oder einem HTML Editor 4 So ersetzen Sie das Citrix Logo A Suchen Sie in der Vorlage die folgende Zeile lt img sre citrix logo gif gt B Setzen Sie f r citrix logo gif den Namen Ihrer Bilddatei ein Wenn Ihre Bilddatei logo gif hei t muss die Zeile demnach wie folgt lauten lt img src logo gif gt Unterst tzt werden nur Bilddateien im GIF oder JPG Format Lassen Sie die anderen Zeichen in der Zeile unver ndert 5 Speichern Sie die Datei 188 Citrix Access Gateway Standard Edition Administratorhandbuch Verwenden des ActiveX Steuerelements Wenn Sie die Clientanmeldeseite mit dem ActiveX Steuerelement starten m chten f gen Sie in die Anmeldeseitenvorlage den folgenden Code ein lt html gt lt head gt lt title gt Hallo citrix username lt title gt Scitrix_activex_object include lt head gt lt body gt lt img src citrix logo gif gt lt br gt lt br gt lt b gt Hallo citrix username lt b gt lt br gt lt br
296. karte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf die Registerkarte Licensing 3 W hlen Sie Use this appliance as the license server 4 Klicken Sie neben Install a license file auf Browse navigieren Sie zur Lizenzdatei und klicken Sie auf ffnen 52 Citrix Access Gateway Standard Edition Administratorhandbuch 5 Sobald die Lizenzdatei auf das Access Gateway hochgeladen ist klicken Sie auf Submit Wichtig Citrix empfiehlt von allen Lizenzdateien die Sie erhalten jeweils eine Kopie auf dem lokalen Computer zu speichern Wenn Sie eine Sicherungskopie der Konfigurationsdatei speichern werden alle hochgeladenen Lizenzdateien in die Sicherung bernommen Wenn die Access Gateway Serversoftware neu installiert werden muss und Sie nicht auf eine Sicherungskopie der Konfiguration zur ckgreifen k nnen ben tigen Sie die Original Lizenzdateien Konfigurieren von Lizenzen f r mehrere Ger te Wenn Sie mehrere Ger te installiert haben legen Sie ein Access Gateway fest das als Lizenzserver fungieren soll Installieren Sie alle Lizenzen auf einem Access Gateway das dadurch zum Lizenzserver wird Die anderen Ger te rufen die Lizenzen von diesem Access Gateway ab Die anderen Ger te im Netzwerk k nnen auch dann eine Verbindung zum Lizenzserver herstellen und Lizenzen abrufen wenn sie nicht zum Cluster geh ren Die Lizenzen werden den Ger ten unabh ngig von ihrem jeweiligen Status im Ne
297. kation mit dem anderen Ger t zustande kommt erhalten Sie Statusmeldungen aus denen hervorgeht dass keine Pakete empfangen wurden und dass alle Pakete verloren gegangen sind Zur Behebung dieses Problems f gen Sie erneut eine statische Route hinzu So entfernen Sie eine statische Route l 4 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t Klicken Sie auf die Registerkarte Routes W hlen Sie in der Tabelle der statischen Routen alle Routen aus die Sie l schen m chten Klicken Sie auf Remove Route Beispiel f r eine statische Route Angenommen die IP Adresse f r das Interface 0 am Access Gateway lautet 10 0 16 20 und es liegt eine Anforderung f r den Zugriff auf Daten auf 129 6 0 20 vor wof r derzeit kein Pfad vorhanden ist Vom Netzwerkadapter aus der nicht als Access Gateway Standardgateway festgelegt ist k nnen Sie eine statische Route zur angeforderten Netzwerkadresse erstellen Die folgende Abbildung enth lt eine grafische Darstellung dieser Situation Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 69 192 168 0 20 Interface 0 Interface 1 Access Gateway Standard gateway 10 0 16 1 Gateway Bp 192 168 0 1 A je Anwendungs server Netzwerktopologie mit einer statischen Route Die Abbildung zeigt die folgenden Verbindungen Der Adapter f r Interface 0 10 0 16 20 f hrt zum Standardgateway 10 0 16 1 das mit
298. ke befindet sendet der Secure Access Client das Paket durch den VPN Tunnel an das Access Gateway Befindet sich die Zieladresse nicht in einem zug nglichen Netzwerk wird das Paket nicht verschl sselt und der Client leitet das Paket dementsprechend weiter Hinweis Wenn Benutzer mit Citrix Presentation Server Clients eine Verbin dung zu in der Serverfarm ver ffentlichten Anwendungen herstellen muss Split Tunneling nicht aktiviert werden So aktivieren Sie Split Tunneling und zug ngliche Netzwerke l Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren Sie im Bereich Access options die Option Enable split tunneling 3 Geben Sie im Feld Accessible networks die Liste der Netzwerke ein die Netzwerkressourcen enthalten auf die Benutzer mit dem Secure Access Client zugreifen m ssen Trennen Sie dabei die einzelnen Netzwerkeintr ge durch ein Leerzeichen oder einen Zeilenumbruch voneinander 4 Klicken Sie auf Submit Konfigurieren von Benutzergruppen Benutzergruppen definieren die Ressourcen auf die der Benutzer zugreifen darf wenn er ber das Access Gateway eine Verbindung zum Unternehmensnetzwerk herstellt Gruppen sind mit der Liste der lokalen Benutzer verkn pft Nach dem Hinzuf gen lokaler Benutzer zu einer Gruppe k nnen Sie auf der Registerkarte Access Policy Manager die Ressourcen definieren auf die diese Benutzer Zugriff haben sollen Weitere Informationen zum Konfigurieren von lokaler Benutz
299. klicken Sie im Webbrowser auf das Symbol f r ein freigegebenes Netzlaufwerk Innerhalb des Kioskfensters wird das Freigabefenster ge ffnet 2 Ziehen Sie zum Kopieren einer Datei vom Netzlaufwerk auf Ihren Computer das Dateisymbol auf das KioskFTP Symbol 3 Navigieren Sie im Dialogfeld Kiosk File Download zu dem Speicherort an den die Datei kopiert werden soll und klicken Sie dann auf Open Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 167 Nach Abschluss der FTP Ubertragung wird eine entsprechende Meldung angezeigt Die bertragung von Ordnern oder das Zur ckkopieren von Dateien auf das freigegebene Netzlaufwerk ist mit FTP nicht m glich Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung Wenn die Netzwerkverbindung eines Benutzers kurz unterbrochen wird muss der Benutzer sich standardm ig nicht neu anmelden sobald die Verbindung wieder hergestellt ist Sie k nnen allerdings vorschreiben dass Benutzer sich nach einer Unterbrechung doch neu anmelden m ssen z B wenn sich ein Computer im Ruhezustand oder Standby Modus befunden hat wenn der Benutzer in ein anderes drahtloses Netzwerk wechselt oder wenn eine Verbindung erzwungener ma en beendet wurde So erzwingen Sie die Neuanmeldung von Benutzern nach einer Netzwerkunterbrechung oder einem Ruhezustand 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maust
300. l eDirectory cn admin de citrix dc net IBM Directory Server Lotus Domino CN Notes Administrator O Citrix C US Sun ONE Verzeichnis fr her uid admin ou Administrators iPlanet ou TopologyManagement o NetscapeRoot Hinweis Weitere Informationen zu LDAP Servereinstellungen finden Sie unter Bestimmen der Attribute in Ihrem LDAP Verzeichnis auf Seite 94 So erstellen Sie einen LDAP Authentifizierungsbereich 1 2 Klicken Sie auf die Registerkarte Authentication Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen f r den Authentifizierungsbereich ein Wenn Ihre Site mehrere Authentifizierungsbereiche besitzt sollten Sie einen Namen verwenden aus dem deutlich der LDAP Bereich hervorgeht fiir den Sie die Einstellungen festlegen Bei Bereichsnamen ist auf die Gro und Kleinschreibung zu achten Dar ber hinaus k nnen sie Leerzeichen enthalten Hinweis Wenn der Bereich Default die LDAP Authentifizierung verwenden soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 81 beschrieben W hlen Sie One Source und klicken Sie auf Add W hlen Sie im Dialogfeld Select Authentication Type unter Authentication Type die Option LDAP authentication und klicken Sie auf OK Ein Dialogfeld mit dem Namen des neuen Bereichs wird ge ffnet Konfigurieren Sie nach der Erstellung des Bereichs die LDAP Authe
301. le Sign On am Webinterface aktivieren Beim Aktivieren von Single Sign On wird der Benutzer zweimal authentifiziert gibt seine Authentifizierungsinformationen allerdings nur einmal ein Das Access Gateway authentifiziert den Benutzer und leitet seine Anmeldeinformationen an das Webinterface weiter Das Webinterface leitet die Anmeldeinformationen an den XML Dienst weiter wobei der Benutzer nicht zur erneuten Eingabe seiner Anmeldeinformationen aufgefordert wird Der XML Dienst authentifiziert den Benutzer und legt fest auf welche ver ffentlichten Anwendungen der Benutzer zugreifen darf Zum Aktivieren von Single Sign On m ssen das Access Gateway und das Webin terface den Benutzer ber denselben Authentifizierungsserver z B denselben LDAP oder RADIUS Server authentifizieren Wenn Sie die Anmeldeseitenauthentifizierung jedoch nicht die Option f r Single Sign On am Webinterface aktivieren ist Folgendes zu beachten F r den Zugriff auf ver ffentlichte Anwendungen muss der Benutzer seine Anmeldeinformationen zweimal eingeben Der Benutzer gibt seine Authen tifizierungsinformationen zuerst auf der Access Gateway Anmeldeseite und dann erneut auf der Webinterface Anmeldeseite ein Das Access Gateway und das Webinterface k nnen den Benutzer ber verschiedene Authentifizierungsserver authentifizieren 232 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn Sie die Anmeldeseitenauthentifizierung aktivieren
302. ler zugewiesene Attributnummer ist 0 Dies ist der zugewiesene Wert f r das Attribut CTSXUserGroups Das Attribut hat das Format einer Zeichenfolge Wahlen Sie als Attributformat Zeichenfolge aus Geben Sie unter Attributwert den Attributnamen und die Gruppen ein F r das Access Gateway lautet der Attributwert CTXSUserGroups Gruppenname Wenn zwei Gruppen definiert sind z B die Gruppen Vertrieb und Finanzen lautet der Attributwert CTXSUserGroups Vertrieb Finanzen Die Gruppen sind dabei jeweils durch ein Semikolon zu trennen Entfernen Sie im Dialogfeld Einw hlprofil bearbeiten alle anderen Eintr ge au er dem Eintrag Vendor specific Wenn Sie mit dem Konfigurieren der RAS Richtlinie im IAS fertig sind gehen Sie zum Access Gateway und konfigurieren Sie die RADIUS Authentifizierung und Autorisierung So konfigurieren Sie die RADIUS Authentifizierung l 2 Klicken Sie auf die Registerkarte Authentication Geben Sie im Feld Realm name einen Namen f r den Authentifizierungs bereich ein w hlen Sie One Source und klicken Sie dann auf Add Hinweis Wenn der Bereich Default RADIUS Authentifizierung verwenden soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 81 beschrieben Besitzt Ihre Site mehrere Authentifizierungsbereiche verwenden Sie einen Namen aus dem deutlich hervorgeht f r welchen RADIUS Bereich Sie die E
303. licken f r erw Opti Yerbindungsprotokoll anzeigen Benut Kam Erweiterte Optionen en Sekund res Kennwort ausblenden Kennwort D Hilfethemen Sekundares Kennwort Info ber Citrix Secure Access falls erforderlich Verbinden mit 192 168 163 100 443 Kontextmen des Secure Access Client Dialogfelds 156 Citrix Access Gateway Standard Edition Administratorhandbuch 5 Sie k nnen das zweite Kennwortfeld ein und ausblenden F hren Sie hierzu einen der folgenden Schritte aus Wird das Feld f r das sekund re Kennwort angezeigt klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im Dialogfeld und w hlen Sie im Men die Option Sekund res Kennwort ausblenden Wird das Feld f r das sekund re Kennwort nicht angezeigt klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im Dialogfeld und w hlen Sie im Men die Option Sekund res Kennwort anzeigen Hinweis Die Kennwortbeschriftungen im Dialogfeld Secure Access Client k nnen im Administration Tool auf der Registerkarte Authentication ge ndert werden Falls Sie die Kennwortbeschrif tungen ge ndert haben wird dieser Text im Secure Access Client Dialogfeld und auf der Anmeldewebseite angezeigt Die Men option zum Ein und Ausblenden der Kennwortbeschriftungen bleibt unver ndert Weitere Informationen hierzu finden Sie unter ndern der Beschriftung von Kennwortfeldern auf Seite 111 6 Klicken Sie auf Verbinden
304. linien zur Uberpriifung vor der Authentifizierung 137 Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client SystemvoraussetZUNGen 0 0 cee teen ene e eens 140 Betriebssysteme nrin nenn nun 140 Webbrowser pret 80 80 2 em er me a sea ee eed 141 Funktionsweise von Benutzerverbindungen 00 0 c eee eee ees 141 Einrichten des sicheren Tunnels 00 cece eee ete eee eee 142 Tunneln des privaten Netzwerkverkehrs tiber sichere Verbindungen 142 Beenden des sicheren Tunnels und Zur cksenden von Paketen an den T ae ne ee rec arten 145 Unterst tzung f r den Secure Access Client 0 0 00 c eee eee en 146 Konfigurieren von Proxyservern f r den Secure Access Client 148 Konfigurieren des Secure Access Clients f r Benutzer ohne Administratorrechte 2 eee ete t nen E eae 149 Konfigurieren von Single Sign on f r Windows Betriebssysteme 149 Herstellen von Verbindungen mit fr heren Versionen des Secure Access MSHS 2 ee dca pe da ay det Aides tape enya ca bec nya Bee Neca nylon Pav kk 150 Herstellen einer Verbindung mit einer Webadresse 2 2222200 amp 152 Installieren von ActiveX Helper 0 ccc eee eens 152 Anmelden mit dem Secure Access Client 02 0 2 2 00 e eee eee eee 153 Verbindungen im Kioskmodus 00 00 cece ccc eee eens 157 Erstellen einer Kioskmodusressource 0 0 cece eee eee eens 160 Konfiguri
305. ltung und username client_cert_ end_user_subject_ common name Folgende Operatoren k nnen verwendet werden and logisches UND bereinstimmungspr fung G ltige Konstanten f r die Kriterien true logisches WAHR G ltige Variablen f r die Kriterien user name lokaler Benutzername auf dem Access Gateway client_cert end user _subject_common_name CN Attribut des Betreffs des Clientzertifikats client_cert_end_user_subject_organizational_unit OU Attribut des Betreffs des Clientzertifikats client_cert_end_user_subject_organization O Attribut des Betreffs des Clientzertifikats Die Werte f r die Clientzertifikatskriterien m ssen in Anf hrungszeichen gesetzt werden Beispiele f r richtige und falsche Schreibweise Der boolesche Ausdruck client_cert end user _subject_common_name g ltig und funktioniert clients gateways citrix com ist Der boolesche Ausdruck client_cert_end_user_subject_common_name clients gateways citrix com ist ung ltig und funktioniert nicht 178 Citrix Access Gateway Standard Edition Administratorhandbuch So legen Sie die Clientzertifikatskonfiguration fest l Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf eine andere Gruppe als die Standardgruppe und klicken Sie dann auf Properties Hinweis F r die Standardbenutzergruppe ist die Clientzertifikats konfiguration nicht verf gbar Geben Sie auf der Registerkarte Cl
306. luster Mit einem Cluster stellen Sie sicher dass alle Access Gateway Ger te so konfiguriert sind dass sie den Zugriff auf die Netzwerkressourcen auf dieselbe Weise unterst tzen ber den Load Balancer kann der Benutzer mit jedem Access Gateway im Cluster eine Verbindung herstellen und erh lt dabei jeweils dieselben Zugriffsrechte Weitere Informationen hierzu finden Sie unter Erstellen eines Clusters mit Access Gateway Ger ten auf Seite 273 Erstellen Sie ein einzelnes SSL Serverzertifikat im PEM Format und den zugeh rigen privaten Schl ssel und laden Sie dieses Zertifikat und den Schl ssel auf alle Access Gateway Ger te hoch Weitere Informationen hierzu finden Sie unter Erstellen eines Zertifikats f r Ger te hinter einem Load Balancer auf Seite 277 Erstellen eines Zertifikats fur Gerate hinter einem Load Balancer Wenn Sie Access Gateway Ger te hinter einem Load Balancer bereitstellen m ssen dasselbe SSL Serverzertifikat und derselbe private Schl ssel auf jedem einzelnen Ger t zur Verf gung gestellt werden Wichtig Erstellen Sie die SSL Serverzertifikatsanforderung nicht mit der Funktion Certificate Signing Request auf der Registerkarte Access Gateway Cluster im Administration Tool Diese Funktion erzeugt einen eigenen privaten Schl ssel auf dem Access Gateway auf dem sie ausgef hrt wird Wenn Access Gateway Ger te hinter einem Load Balancer bereitgestellt sind muss jedes Access Gateway denselben private
307. m Abschnitt enthaltenen Informationen k nnen Sie diese Fragen f r Ihre spezielle Umgebung leichter beantworten Unterst tzen von Lastausgleich Bevor Sie mit der Bereitstellung einer Double Hop DMZ beginnen sollten Sie entscheiden ob in Ihrer Double Hop DMZ Lastausgleich unterst tzt werden soll Die Unterst tzung von Lastausgleich bietet folgende Vorz ge Sie k nnen mehrere Access Gateway Ger te in jeder DMZ bereitstellen um zu gew hrleisten dass die Access Gateway Bereitstellung keinen SPoF Single Point of Failure d h keine einzelne Fehlerstelle hat Wenn ein Access Gateway ausf llt steht ein anderes Access Gateway f r die Benutzerverbindungen zur Verf gung Zur Optimierung der Leistung f r den Endbenutzer werden die Benutzer verbindungen gleichm ig auf die verschiedenen Access Gateway Ger te verteilt Erste DMZ Zweite DMZ a l i Access S Access s lw Gateway u Gateway Proxy iu x ac cc uw x DE Internet Load Balancer Access Access Serverfarm Gateway Gateway Proxy Zwei in der ersten DMZ und zwei in der zweiten DMZ bereitgestellte Access Gateway Ger te zur Gew hrleistung hoher Verf gbarkeit Wenn Sie mehrere Ger te in der ersten DMZ bereitstellen m ssen Sie einen Load Balancer vor diesen Ger ten implementieren Beim Konfigurieren des Lastaus gleichs f r die Access Gateway Ger te in der ersten DMZ k nnen Sie genauso vorgehen wie bei jeder anderen Access Gateway B
308. m Konfigurieren des Webinterface dass die Einstellungen korrekt sind So berpr fen Sie die Webinterface Einstellungen l Geben Sie im Webbrowser die Webadresse des Webinterface ein Beispiel https FODNofWebInterface Citrix Metaframe 2 Melden Sie sich am Webinterface an 3 Klicken Sie mit der rechten Maustaste auf eine Anwendung und w hlen Sie Ziel speichern unter 4 Speichern Sie die Datei auf dem Desktop Der Dateiname lautet launch ica 5 Klicken Sie mit der rechten Maustaste auf die Datei launch ica und ffnen Sie sie im Editor 6 Geben Sie an einer Eingabeaufforderung ping AccessGatewayFODN ein wobei AccessGatewayFODN der Name des Access Gateways ist 7 Doppelklicken Sie auf launch ica Wenn Sie eine SSL Fehlermeldung erhalten berpr fen Sie das Stammzer tifikat auf dem Access Gateway und stellen Sie sicher dass das Zertifikat ordnungsgem signiert ist Konfigurieren der Secure Ticket Authority Beim Installieren von Citrix MetaFrame Presentation Server 3 0 wird die Secure Ticket Authority auf einem separaten Server im sicheren Netzwerk installiert und konfiguriert Beim Installieren von Citrix Presentation Server 4 0 f r Windows wird die Secure Ticket Authority automatisch auf demselben Server wie Presentation Server im sicheren Netzwerk installiert und konfiguriert Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 213 Wenn Presentation Server 4 0 auf einem Server ins
309. m Konfigurieren von Zertifikaten keine 512 Bit Schl ssel paare da diese oft Opfer von Brute Force Angriffen werden Laufwerkszuordnung kann nicht mit einer Anwendungsrichtlinie eingeschr nkt werden Sie k nnen nicht mit einer Anwendungsrichtlinie Benutzeraktivit ten die direkt innerhalb des Windows Betriebssystems verarbeitet werden z B die Laufwerks zuordnung einschr nken Hierf r m ssen Sie eine Netzwerkgruppenrichtlinie verwenden Beispiel Wenn Sie verhindern m chten dass Benutzer in der Standardbenutzer gruppe in Windows Explorer eine Verkn pfung mit Laufwerken im Subnetz 10 51 251 0 24 herstellen m ssen Sie eine Gruppenressource erstellen in der dieses Subnetz angegeben wird und diese Ressource der Standardgruppe zuwei sen Verweigern Sie dann den Zugriff auf diese Netzwerkressource 338 Citrix Access Gateway Standard Edition Administratorhandbuch Sie k nnen den Zugriff nicht durch Erstellen einer Anwendungsrichtlinie f r Windows Explorer einschr nken in die eine Netzwerkressource eingebettet ist auf die der Zugriff Netzwerkressource verweigert ist Secure Access Client Im Zusammenhang mit dem Secure Access Client k nnen die im Folgenden beschriebenen Probleme auftreten Secure Access Client Verbindungen mit Windows XP Wenn ein Windows XP Benutzer eine Verbindung zum Access Gateway herstellt den Computer abmeldet ohne vorher die Verbindung zum Secure Access Client zu trennen und sich dann wie
310. men des neuen Bereichs wird ge ffnet 5 Klicken Sie auf die Registerkarte Authentication 6 Geben Sie im Feld IP address or FQDN die IP Adresse des Windows NT 4 0 Domanencontrollers ein 7 Geben Sie im Feld Port die Nummer des Ports ein den der Windows NT 4 0 Dom nencontroller nach NTLM Authentifizierungsverbindungen abh rt Der Standardport f r NTLM Authentifizierungsverbindungen ist 139 Hinweis Wenn als Port 0 Null eingegeben wird versucht das Access Gateway automatisch eine Portnummer f r die Verbindung zu ermitteln 8 Geben Sie im Feld Time out in seconds die Zeitspanne in Sekunden ein innerhalb derer die Authentifizierung abgeschlossen sein muss Wird die Authentifizierung nicht innerhalb dieses Zeitraums abgeschlossen schl gt sie fehl 9 Klicken Sie auf Submit Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 109 Konfigurieren der NTLM Autorisierung Ein Windows NT 4 0 Dom nencontroller unterh lt Gruppenkonten Ein Grup penkonto besteht aus mehreren Dom nenkonten einzelner Benutzer und anderen Konten Zum Konfigurieren der NTLM Autorisierung klicken Sie im Authentifizierungs bereich auf die Registerkarte Authorization und geben die Adresse und den Port ein den das Access Gateway zum Herstellen einer Verbindung zum Windows NT 4 0 Dom nencontroller verwendet Au erdem geben Sie einen Timeoutwert an der festlegt in welcher Zeit eine Autorisierung am Windows NT Server abge
311. mgebung bereitgestellt wird Dabei sollten Sie darauf achten dass Sie die entsprechenden Teststammzertifikate herunterladen und auf jedem Clientger t installieren das eine Verbindung ber das Access Gateway herstellt Digitale Zertifikate und deren Verwendung im Access Gateway Das Access Gateway verwendet digitale Zertifikate zum Verschl sseln und Authentifizieren von ber eine Verbindung gesendetem Verkehr Wenn das auf dem Access Gateway installierte digitale Zertifikat nicht von einer Zertifizie rungsstelle signiert ist wird der Verkehr zwar verschl sselt aber nicht authentifi ziert Die Authentifizierung des Verkehrs erfolgt nur wenn das digitale Zertifikat von einer Zertifizierungsstelle signiert ist Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 301 Wenn tiber eine Verbindung gesendeter Verkehr nicht authentifiziert wird kann es bei der Verbindung zu Man in the Middle Angriffen kommen Bei einem solchen Angriff fangen Dritte den ffentlichen Schl ssel ab der vom Access Gateway an den Secure Access Client gesendet wird und nutzen diesen um das Access Gateway vorzut uschen Die Folge ist dass der Benutzer ohne es zu wissen Authentifizierungsinformationen an den Angreifer sendet der mit diesen Informationen eine Verbindung zum Access Gateway herstellen kann Mit Zerti fikaten die von einer Zertifizierungsstelle signiert sind werden solche Angriffe verhindert Wenn das auf dem Access Gateway
312. ministratorkennwort mit der seriellen Konsole nach der Installation des Ger ts ndern Weitere Informationen hierzu finden Sie unter Konfigurieren der TCP IP Einstellungen mit dem seriel len Kabel auf Seite 42 Hinweis Wenn Sie das Standardkennwort f r das Administratorkonto auf den Standardwert zur cksetzen m chten m ssen Sie die Access Gateway Serversoftware neu installieren Das neue Kennwort darf bis zu 127 Zeichen enthalten Weder am Anfang noch am Ende darf ein Leerzeichen stehen So ndern Sie das Administratorkennwort im Administration Portal l Klicken Sie im Administration Portal auf der Registerkarte Administration auf Admin Password 2 Geben Sie unter Administrator Password das neue Kennwort ein 3 Klicken Sie auf Change Password Kapitel 12 Warten des Access Gateways 259 Anzeigen von Protokollinformationen Auf der Seite Logging wird das Protokoll f r das Access Gateway angezeigt Die hier angezeigten Informationen sind mit denen identisch die im Administration Tool auf der Registerkarte Access Gateway Cluster gt Logging Settings angezeigt werden Ausfuhren von Wartungsaufgaben Auf der Seite Maintenance k nnen Sie Verwaltungsaufgaben ausf hren Dazu geh ren folgende Aufgaben e Hochladen signierter Zertifikate crt e Hochladen privater Schl ssel und Zertifikate pem Eingeben des Kennworts f r einen privaten Schl ssel Hochladen gespeicherter Konfigurationen oder U
313. mmzertifizierungsstelle direkt untergeordneten Zertifizierungsstellen lassen Zertifizierungsstellenzertifikate von der Stammzertifizierungsstelle signieren Zertifizierungsstellen die sich in der Hierarchie unter den untergeordneten Zertifizierungsstellen befinden lassen ihre Zertifizierungsstellenzertifikate von den untergeordneten Zertifizierungsstellen signieren Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 297 Selbst signiertes zertifikat Zertifikat F CA Zertifikat CA von Stamm Europa CA signiert Untergeordnete Untergeordnete Untergeordnete CA CA CA CA Zertifikat von CA USA signiert Untergeordnete Untergeordnete Untergeordnete CA CA CA CA Zertifikat von CA A USA 3 signiert Hierarchische Struktur einer typischen digitalen Zertifikatkette Zertifizierungsstellen k nnen ihre eigenen Zertifikate signieren d h sie sind selbst signiert oder sie k nnen auch von einer anderen Zertifizierungsstelle signiert werden Selbst signierte Zertifikate stammen von sogenannten Stamm zertifizierungsstellen Nicht selbst signierte Zertifikate stammen von sogenannten untergeordneten Zertifizierungsstellen oder Zwischenzertifizierungsstellen Wenn ein Serverzertifikat von einer Zertifizierungsstelle mit einem selbst signier ten Zertifikat signiert ist besteht die Zertifikatkette aus genau zwei Zertifikaten dem Zertifikat der Endeinheit und dem Zertifikat der Stammzertifizierungsstelle Wenn ein Benutzer oder Serverz
314. mputer im internen Netzwerk her auf dem Presentation Server ausgef hrt wird Im SSL Relay auf dem Computer auf dem Citrix Presentation Server zum Hosten der ver ffentlichten Anwendung ausgef hrt wird muss ein SSL Serverzertifikat installiert sein Auf dem Access Gateway Proxy in der zweiten DMZ muss ein Stammzertifikat installiert sein das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat das im SSL Relay installiert ist 250 Citrix Access Gateway Standard Edition Administratorhandbuch Herstellen einer Clientverbindung in einer Double Hop DMZ Dieser Abschnitt enthalt eine detaillierte Beschreibung der einzelnen Schritte zur Herstellung von Clientverbindungen in einer Double Hop DMZ Obwohl dieser Prozess kontinuierlich abl uft wird er nachstehend zum besseren Verst ndnis in einzelne Phasen unterteilt Es gibt vier Phasen e Clientauthentifizierung Erstellung von Sitzungstickets Starten des Clients Verbindungsherstellung Webinterface Serverfarm Schritte En Schritte 3 8 9 ao 4 5 6 7 In 7 k TG i Schritte z 13 14 Server mit Secure Ticket Webbrowser Sons Schritte Authority und XML Dienst 12 14 15 16 18 Schritte s 17 18 a 4 Schritt a I 10 11 19 Schrit 20 eu Access Gateway Server mit ver ffentlichten Anwendungen Access Gateway Proxy Schritt 20 Citrix Presentation Server Client Diese Abbildung zeigt die einzelnen Schritte beim Hers
315. muss das Zertifikat den vollqualifizierten Dom nennamen des Access Gateways aufwei sen Falls das Access Gateway hinter einem Load Balancer bereitgestellt ist m ssen alle Ger te dasselbe Zertifikat und denselben privaten Schl ssel enthal ten Weitere Informationen hierzu finden Sie unter Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers auf Seite 275 So installieren Sie ein Zertifikat und einen privaten Schl ssel von einem Windows Computer aus 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Administration 3 Klicken Sie neben Upload a pem private key and signed certificate auf Browse 4 Gehen Sie zum Zertifikat und klicken Sie auf ffnen Beim Hochladen des Zertifikats auf das Access Gateway werden Sie aufgefordert ein Kennwort festzulegen mit dem der private Schl ssel verschl sselt werden soll Installieren von Stammzertifikaten auf dem Access Gateway Die Stammzertifikate werden von der Zertifizierungsstelle ausgestellt Mit diesen Stammzertifikaten validieren die SSL Clients die von einem SSL Server vorge legten Zertifikate Wenn ein SSL Client eine Verbindung zu einem SSL Server aufbaut weist der Server ein Zertifikat vor Der Client schl gt daraufhin im Stammzertifikatspeicher nach ob das vom SSL Server vorgelegte Zertifikat von einer Zertifizierungsstelle signiert ist die f r das Stammzertifikat als vert
316. n Benutzername katjam Kennwort Sekundares Kennwort falls erforderlich Verbinden mit 192 168 163 100 443 Secure Access Client Dialogfeld f r die Zweimethodenauthentifizierung Kapitel 8 Konfigurieren von Benutzerverbindungen f r den Secure Access Client 155 4 Sollen die Einstellungen ge ndert werden klicken Sie mit der rechten Maustaste auf das Dialogfeld und klicken Sie dann auf Erweiterte Optionen Sie k nnen die folgenden Einstellungen ndern Webadresse des Ger ts Hier werden au erdem die IP Adressen oder vollqualifizierten Dom nennamen der letzten 10 Ger te aufgef hrt zu denen der Benutzer eine Verbindung hergestellt hat Proxyeinstellungen f r den Clientcomputer Benutzer k nnen auto matische Proxyservererkennung festlegen oder einen Proxyserver manuell konfigurieren 7 Aktivieren von Split DNS Diese Einstellung wird im Administration Tool festgelegt Ist diese Einstellung nicht verfiigbar sind entsprechend keine nderungen m glich Weitere Informationen ber Split DNS finden Sie unter Aktivieren von Split DNS auf Seite 169 Deaktivieren von Sicherheitszertifikatswarnungen Falls kein von einer Zertifizierungsstelle signiertes sicheres Zertifikat installiert ist wird eine Zertifikatswarnung eingeblendet sobald sich ein Benutzer anmeldet Diese Einstellung deaktiviert die Warnung Citrix Secure Access Client x 6 C ITRIX Secure Access Client Rechtsk
317. n Klicken Sie auf Submit Das Access Gateway kann so konfiguriert werden dass der Benutzerzugriff mit einem oder mehreren LDAP Server n authentifiziert wird Wenn sich ein Benut zer nicht in einem LDAP Verzeichnis befindet oder wenn die Authentifizierung auf einem Server fehlschl gt berpr ft das Access Gateway den Benutzer anhand der lokal auf dem Access Gateway gespeicherten Benutzerinformationen sofern auf der Registerkarte Settings die Option Use the local user database on the Access Gateway aktiviert ist F r die LDAP Autorisierung m ssen die Gruppennamen in Active Directory auf dem Access Gateway und auf dem LDAP Server identisch sein inklusive Leer zeichen und Gro Kleinschreibung Hinweis Weitere Informationen zur Festlegung der LDAP Servereinstellungen finden Sie unter Bestimmen der Attribute in Ihrem LDAP Verzeichnis auf Seite 94 Konfigurieren der LDAP Autorisierung Im Folgenden werden die LDAP Gruppenmitgliedschaftsattribute beschrieben die mit der Access Gateway Autorisierung funktionieren und nicht funktionieren F r die LDAP Authentifizierung k nnen Sie die folgenden Autorisierungstypen verwenden Lokale Autorisierung LDAP Autorisierung Keine Autorisierung Wenn Sie die Zweimethodenauthentifizierung verwenden basiert die Autorisie rung auf der prim ren nicht der sekund ren Authentifizierungsmethode Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 91 A
318. n bertragung mit SSL TLS muss ein Serverzertifikat auf dem Access Gateway vorliegen So k nnen Sie ein Serverzertifikat abrufen und auf dem Access Gateway installieren Erstellen Sie mit dem Certificate Request Generator eine CSR myreq csr und einen privaten Schl ssel private key Informationen hierzu finden Sie unter Erstellen einer Zertifikatsignieranforderung auf Seite 57 Senden Sie die Datei myreq csr per E Mail an einen autorisierten Zertifikatsanbieter Sobald Sie die signierte Zertifikatdatei von der Zertifizierungsstelle erhalten laden Sie das Zertifikat mit dem Administration Tool hoch Das Administration Tool wandelt das Zertifikat automatisch in das vom Access Gateway geforderte PEM Format um Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 57 Kennwortgesch tzte private Schl ssel Die mit der Zertifikatsignieranforderung erstellten privaten Schl ssel werden verschl sselt und kennwortgesch tzt auf dem Access Gateway gespeichert Beim Erstellen der Zertifikatsignieranforderung werden Sie aufgefordert ein Kennwort f r den privaten Schl ssel festzulegen Dieses Kennwort sch tzt den privaten Schl ssel vor Manipulationen und ist au erdem beim Wiederherstellen einer gespeicherten Konfiguration auf dem Access Gateway erforderlich Kennw rter werden in jedem Fall verwendet unabh ngig davon ob der private Schl ssel verschl sselt ist Wenn Sie ein Upgrade auf Version 4 5 durchf
319. n welche Ports offen sind Sie ffnen die Seite ber das Verbindungssymbol im Infobereich Die offenen Ports werden auf der Registerkarte Details aufgef hrt 268 Citrix Access Gateway Standard Edition Administratorhandbuch So zeigen Sie die Secure Access Client Statuseigenschaften an Doppelklicken Sie im Infobereich auf das Secure Access Client Verbindungs symbol Sie k nnen stattdessen auch mit der rechten Maustaste auf das Symbol klicken und im Kontextmen den Befehl Eigenschaften w hlen Das Dialogfeld Citrix Secure Access Client wird angezeigt Die Verbindungseigenschaften enthalten n tzliche Informationen f r die Problembehandlung Hierzu geh ren z B folgende Eigenschaften Die Registerkarte Allgemein enth lt Verbindungsinformationen e Auf der Registerkarte Details finden Sie Serverinformationen und eine Liste der gesicherten Netzwerke auf die der Client zugreifen kann Die Registerkarte Zugriffslisten enth lt die Zugriffssteuerungslisten ACLs die f r die Benutzerverbindung konfiguriert sind Diese Registerkarte wird nur f r Benutzer angezeigt die Mitglied einer Gruppe sind Wenn f r eine Gruppe keine Zugriffssteuerungsliste konfiguriert ist wird die Registerkarte auch nicht angezeigt Im Folgenden finden Sie Vorschl ge f r Firewalls die h ufig mit dem Access Gateway eingesetzt werden Hinweis Vollst ndige Anweisungen zur Konfiguration der Firewalls finden Sie in der Herstellerdokumen
320. n Benutzerliste Sie k nnen das Access Gateway f r die Verwendung von LDAP RADIUS RSA SecurID SafeWord oder NTLM Windows NT 4 0 Authentifizierungsservern konfigurieren Das Access Gateway unterst tzt die bereichsbasierte Authentifizierung sodass auch Sites mit mehr als einem LDAP oder RADIUS Server oder mit einer Kombina tion aus SafeWord LDAP RADIUS NTLM und oder RSA SecurID Authen tifizierungsservern unterst tzt werden Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 79 computer aE raviws Server i Dunn LDAP rn Je Server Access Gateway Bereich Ye RSA E SecurlD b Bereich Kommunikation zwischen Access Gateway und Authentifizierungsservern Wenn sich ein Benutzer nicht auf dem Authentifizierungsserver befindet oder wenn die Authentifizierung auf diesem Server fehlschl gt versucht das Access Gateway den Benutzer anhand der lokalen Benutzerliste zu authentifizieren wenn auf der Registerkarte Authentication gt Settings das Kontrollk stchen Use the local user database on the Access Gateway aktiviert ist Wenn Authentifizierung fehlschl gt wird lokales Benutzerkonto auf dem Access Gateway berpr ft i Client wird ber Anmeldeinformationen authentifiziert Access Gateway Authentifizierungs server Wenn Benutzer vom Access Gateway authentifiziert wird folgt berpr fung der Gruppenautorisierung Kommunikation zwischen dem Client dem Access Gateway und
321. n LDAP Browser den Profilnamen aus den Sie erstellt haben 2 Wenn Sie den Basis DN herausfinden m chten suchen Sie im rechten Teil nach dem Attribut namingContexts Der Wert dieses Attributs ist der Basis DN f r Ihre Site Der Basis DN lautet typischerweise wie folgt dce Dom nenname dc com sofern Ihre Verzeichnisstruktur auf Internetdom nennamen basiert oder ou Dom ne o Organisation c Land Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 95 Eile Edit View Tools Help e gt MZA BR x eg e 2 wir K objectclass EE Browser root H E Michigan OpenLDAP OpenLDAP E ai de OpenLDAP JobjectClass OpenLDAProotDSE a a Unze CERTUNI Be structural bjectClass OpenLDAProotDSE JB namingContexts dc OpenLDAP de org J monitorContext cn Monitor BP supportedControl 2 16 840 1 113730 3 4 18 BB supportedControl 2 16 840 1 113730 3 4 2 J supportedControl 1 3 6 1 4 1 4203 666 5 6 RP supportedcontrol 1 3 6 1 4 1 4203 1 10 2 WB supportedControl 1 3 6 1 4 1 4203 1 10 1 BP supportedControl 1 2 840 113556 1 4 1413 WB supportedControl 1 2 840 113556 1 4 1339 oper J supportedcontrol 1 2 840 113556 1 4 319 oper JB supportedcontrol 1 2 826 0 1 334810 2 3 oper 2 cunnartedContral 136141 AN 4665197 omer Ready For Help press Fi Anonymous Schema loaded LDAP Browser Fenster 3 Navigieren Sie in der Anwendung um auch die anderen Attribute zu finden Konfigurieren von RADIUS Authentifizierun
322. n Schl ssel und dasselbe SSL Zertifikat verwenden 278 Citrix Access Gateway Standard Edition Administratorhandbuch So erstellen Sie ein SSL Serverzertifikat und einen privaten Schlussel l Erstellen Sie die SSL Serverzertifikatsanforderung und den privaten Schl ssel mit einem OpenSSL Tool beispielsweise mit Keytool Weitere Informationen zu OpenSSL und den verf gbaren Tools finden Sie im Internet unter http www openssl org Erstellen Sie das Serverzertifikat im PEM Format Geben Sie den vollqualifizierten Dom nennamen des Load Balancers als Servernamen in der Serverzertifikatsanforderung an nicht den vollqualifizierten Dom nennamen eines der Access Gateway Ger te Optional k nnen Sie ein Sternchen anstelle des Servernamens im vollqualifizierten Dom nennamen in der Serverzertifikats anforderung angeben Beispiel dom ne com Erstellen Sie den privaten Schl ssel getrennt von der Serverzertifikatsanforderung Senden Sie die SSL Serverzertifikatsanforderung zur Signierung an eine Zertifizierungsstelle Senden Sie dabei ausschlie lich das Serverzertifikat im PEM Format nicht jedoch den privaten Schl ssel Sobald Sie die signierte SSL Serverzertifikatsanforderung von der Zertifizierungsstelle erhalten tragen Sie den privaten Schl ssel manuell oben im signierten Zertifikat ein Weitere Informationen zum Eintragen eines privaten Schl ssels in ein signiertes Zertifikat finden Sie unter
323. n alle Lizenzen in Gebrauch sind k nnen so lange keine weiteren Verbin dungen mehr ge ffnet werden bis ein Benutzer eine Sitzung beendet oder der Administrator mit dem Real time Monitor eine der Verbindungen schlie t und damit eine Lizenz freigibt Informationen zur Verwendung des Real time Monitors zum Schlie en von Verbindungen finden Sie unter Konfigurieren von Benutzerverbindungen f r den Secure Access Client auf Seite 139 50 Citrix Access Gateway Standard Edition Administratorhandbuch Lizenzen fiir das Access Gateway werden mit dem Administration Tool instal liert Lizenzdateien werden auf der Basis des Hostnamens erstellt wobei der voll qualifizierte Dom nenname des Access Gateways verwendet wird Das Access Gateway auf dem die Lizenzen installiert sind auch als Lizenzserver bezeichnet verarbeitet die installierten Lizenzdateien ungiiltige Lizenzdateien werden nicht berticksichtigt Befinden sich mehrere Access Gateway Ger te im Netzwerk fungiert ein Access Gateway als Lizenzserver der den anderen Ger ten die Lizenzen zuweist Sobald ein Benutzer sich an einem anderen Ger t im Netzwerk anmeldet wird die Lizenz von dem Access Gateway abgerufen das als Lizenzserver arbeitet In einem Cluster werden die installierten Lizenzen nicht auf den anderen Ger ten ver f fentlicht Weitere Informationen zur Verwendung von Lizenzen mit mehreren Ger ten finden Sie unter Konfigurieren von Lizenzen f r mehrere Ger te
324. n auf Sicheren Clientzugriff verwalten gt DMZ Einstellungen bearbeiten W hlen Sie unter Clientadresstabelle den Eintrag Standard aus und klicken Sie dann auf Bearbeiten W hlen Sie im Feld Zugriffsmethode die Option Secure Gateway direkt aus und klicken Sie zweimal auf OK Klicken Sie mit der rechten Maustaste auf die Webinterface Site und w hlen Sie Sicheren Clientzugriff verwalten gt Secure Gateway Einstellungen bearbeiten Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 211 Geben Sie im Feld Secure Gateway Adresse FQDN den vollqualifizier ten Dom nennamen des Access Gateways ein Dieser muss mit dem im Access Gateway Zertifikat verwendeten Namen identisch sein Klicken Sie zum Aktivieren der Sitzungszuverl ssigkeit auf Sitzungszuverl ssigkeit ber Secure Gateway 3 0 aktivieren Klicken Sie unter Secure Ticket Authorities auf Hinzuf gen Geben Sie unter FODN den Namen des Computers ein auf dem Presentation Server ausgef hrt wird und klicken Sie auf OK So konfigurieren Sie das Webinterface f r Citrix Presentation Server 4 5 1 Klicken Sie auf Start gt Programme gt Citrix gt Managementkonsolen gt Access Management Console Klicken Sie im linken Bereich der Access Management Console auf Citrix Ressourcen klicken Sie auf Konfigurationstools und anschlie end auf Webinterface Klicken Sie mit der rechten Maustaste auf die Webinterface Site und klicken Sie dann auf Sicher
325. n beim Webinterface konfiguriert werden Dies wird auch Passthrough Authentifizierung genannt In diesem Abschnitt werden die Schritte zum Konfigurieren des Access Gateways des Webinterface f r Citrix Presentation Server 4 5 des Webinterface f r Citrix Presentation Server 4 0 und des Webinterface f r MetaFrame Presentation Server 3 0 f r Single Sign On beschrieben Dabei wird davon ausgegangen dass das Webinterface bereits konfiguriert ist und st rungsfrei mit dem Access Gateway zusammenarbeitet Informationen zum Einrichten der Grundfunktionalit t im Webinterface finden Sie unter Konfigu rieren des Webinterface f r die Authentifizierung auf Seite 207 Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 217 F r Single Sign On beim Webinterface m ssen die folgenden Mindest voraussetzungen erf llt sein Webinterface Version 3 0 Secure Ticket Authority Version 1 0 oder h her Auf dem Access Gateway ist die Anmeldeseitenauthentifizierung aktiviert Das Webinterface muss hinter dem Access Gateway in der DMZ oder im sicheren Netzwerk implementiert sein Einzelmethodenanmeldung am Access Gateway mit LDAP Authentifizie rung Der Standardauthentifizierungsbereich muss fiir die Verwendung von LDAP Authentifizierung konfiguriert sein Bei Verwendung von RSA SafeWord oder RADIUS Authentifizierung werden die in diesem Kapitel beschriebenen Anderungen nicht unterstiitzt Das Webinterface ist f r die explizit
326. n der NDIS shim Komponente initiiert Aus diesem Grund m ssen IP Firewall Regeln f r den Client festgelegt sein um Datenverkehr vom und zum Access Gateway sowie zu Ziel IP Adressen zu erm glichen Lokal also auf dem Clientcomputer wird der gesamte verbindungs spezifische Verkehr wie SYN ACK PUSH ACK und FIN Pakete vom Secure Access Client neu erstellt damit es so aussieht als k me er vom privaten Server Der Client sendet physischen Datenverkehr nur ber Port 443 an das Gateway Bei der Clientinitialisierung sind f nf UDP Socketverbindungen sichtbar Es handelt sich um folgende Verbindungen 10000 UDP steuert die Informationen zwischen dem Netzwerktreiber und der Portweiterleitung 10010 TCP UPD ist die Datennutzlast 10020 UDP wird f r DNS verwendet 10030 UDP wird f r ICMP verwendet 10040 UDP ist f r zuk nftige Verwendung reserviert Sichern von Verbindungen mit digitalen Zertifikaten Dieses Kapitel enth lt eine bersicht der in der Access Gateway L sung verwen deten Sicherheitstechnologien und soll Ihnen helfen Anzahl und Typ der jeweils erforderlichen Zertifikate zu ermitteln und zu entscheiden wie und wo Sie diese erhalten und installieren Dieser Anhang enth lt die folgenden Themen Einf hrung in Sicherheitsprotokolle Kryptografie und digitale Zertifikate Beantragen von Zertifikaten e Beantragen von Serverzertifikaten Verwenden von Windows Zertifikaten e Anfordern von Z
327. n m ssen Sie zwei Access Gateway Ger te bereitstellen ein Ger t in der ersten Stufe der DMZ und das zweite in der zweiten Stufe der DMZ Das Access Gateway in der zweiten Stufe der DMZ fun giert als Proxy f r ICA Verkehr durch die zweite DMZ Weitere Informationen ber die Bereitstellung des Access Gateways in einer Double Hop Konfiguration finden Sie unter Bereitstellen des Access Gateways in einer Double Hop DMZ auf Seite 223 Konfigurierbare symmetrische Verschl sselung Sie k nnen die Verschl sse lung festlegen die das Access Gateway f r die symmetrische Datenverschl sse lung bei einer SSL Verbindung verwendet Sie k nnen einer dieser drei Verschl sselungen w hlen RC4 128 Bit MD5 SHA 3DES SHA AES 128 256 Bit SHA Kapitel 2 Einf hrung in das Citrix Access Gateway 21 Automatische Erkennung von Proxyservereinstellungen In diesem Release ermittelt der Secure Access Client automatisch die im Betriebssystem festgeleg ten Proxyservereinstellungen Secure Access Client Verbindungen Der Secure Access Client in dieser Version kann Verbindungen zu fr heren Versionen des Access Gateways herstel len Au erdem k nnen fr here Versionen des Secure Access Clients Verbindun gen zu dieser Version des Access Gateways herstellen wenn dies auf der Registerkarte Global Cluster Policies eingestellt ist Automatische Portumleitung Sie k nnen das Access Gateway so konfigu rieren dass unsichere HTTP Verbindungsv
328. n sind her auf dem Presentation Server ausgef hrt wird folgende Schritte erforderlich Das Webinterface in der zweiten DMZ stellt eine Verbindung OrmenSietentweder zur Secure Ticket Authority auf einem Computer im internen Port 80 f r eine Netzwerk her auf dem Presentation Server ausgef hrt wird unsichere Verbindung oder Port 443 f r eine sichere Verbindung Das Access Gateway in der zweiten DMZ stellt eine Verbin dung zur Secure Ticket Authority im sicheren Netzwerk her durch die dritte Firewall Das Access Gateway in der zweiten DMZ stellt eine ICA ffnen Sie TCP Port Verbindung zu einer ver ffentlichten Anwendung auf einem 1494 um ICA Computer im internen Netzwerk her auf dem Presentation Verbindungen durch Server ausgef hrt wird die dritte Firewall zu unterst tzen ffnen Sie TCP Port 2598 anstelle von 1494 wenn Presen tation Server Sitzungs zuverl ssigkeit unterst tzt Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access ffnen Sie den TCP Gateway in der ersten DMZ aktiviert haben muss dieses Access Port an dem der Gateway u U eine Verbindung zu einem Authentifizierungs Authentifizierungs server im internen Netzwerk herstellen server Verbindungen abh rt z B Port 1812 f r RADIUS und Port 389 f r LDAP Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung Bei diesem Schritt m ssen Sie die SSL Zertifikate installieren die z
329. ndet So verbessern Sie die Latenz f r UDP Verkehr 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren Sie unter Select security options die Option Improve latency for Voice Over IP traffic 3 Zum Festlegen einer Verschliisselungssammlung klicken Sie zun chst auf Select encryption type for client connections und w hlen Sie dann die gew nschte Verschl sselungssammlung aus Klicken Sie auf Submit Konfigurieren der Anmelde und Portalseiten fur den Secure Access Client Das Access Gateway kann so konfiguriert werden dass Benutzer die Anmelde seite und die Portalseite verwenden Auf der Anmeldeseite m ssen Benutzer erst ihre Anmeldeinformationen eingeben und werden dann mit der Portalseite ver bunden auf der sich Benutzer mit dem Secure Access Client oder Kioskmodus anmelden k nnen Konfigurieren der Access Gateway Anmeldeseiten Auf der Access Gateway Anmeldeseite miissen sich Benutzer erst anmelden bevor sie mit dem Secure Access Client oder dem Kioskmodus eine Verbindung herstellen Sie haben die Wahl zwischen der Standardanmeldeseite die Teil des Access Gateways ist oder Sie k nnen die Anmeldeseite mit Ihrem Firmenlogo einem Cascading Stylesheet und HTML Fu zeilentext den Sie selbst verfassen anpassen Aktivieren der Anmeldeseitenauthentifizierung Standardm ig muss sich ein Benutzer an der Anmeldeseite und dann am Secure Access Client oder im Kioskmodus anmelden Mit den folgenden bei
330. nen die Clients nur mit Citrix Presentation Server Clients auf Ressourcen in einer Serverfarm zugreifen Der Zugriff auf Ressourcen im inter nen Netzwerk ber den Secure Access Client ist in einem Double Hop DMZ Szenario nicht m glich Es wird lediglich der ICA Datenverkehr unterst tzt Access Gateway Proxy Ba l Access zA i 3 Gateway z J TO a 2 5 E Ww Lu Lu J ac aa x Internet u re j u lt gt zus ber den Citrix x Zam l Presentation Server L al oe Client verbundenes Webinterface parallel Sal ae Clientger t zum Access Gateway en installiert und XML Dienst Zwei Access Gateway Ger te in einer Double Hop DMZ Die obige Abbildung zeigt zwei Access Gateway Ger te in einer Double Hop DMZ mit denen der Zugriff auf eine Serverfarm gesteuert wird 34 Access Gateway Standard Edition Administratorhandbuch Bei dieser Form der Bereitstellung tibernehmen die Clients die Access Gateway Ger te und das Webinterface die folgenden Aufgaben Benutzer aus dem Internet stellen ber einen Webbrowser und einen Presentation Server Client eine Verbindung zum Access Gateway in der ersten DMZ her e Das Access Gateway in der ersten DMZ empf ngt die Clientverbindungen und leitet diese Verbindungen an das Webinterface in der zweiten DMZ weiter Dieses Access Gateway verarbeitet au erdem die Verbindungen von den Clients die eine Verbindung zur Serverfarm im internen Netzwerk aufbauen Das Webint
331. ner Verbindung sehen Die Portalseite kann die Vorlage sein die im Access Gateway enthalten ist oder sie kann auf das Webinterface verweisen Benutzertimeouts Hiermit wird festgelegt wie lange eine Sitzung aktiv sein kann Es gibt folgende Timeouts Sitzungstimeouts bei denen eine Verbindung nach einer festgelegten Zeitspanne geschlossen wird Netzwerkaktivit tstimeouts wobei der Secure Access Client w hrend eines festgelegten Zeitraums keinen Netzwerkverkehr feststellt Timeout bei inaktiven Sitzungen wobei der Secure Access Client w hrend eines festgelegten Zeitraums keine Maus oder Tastaturaktivit t feststellt 136 Citrix Access Gateway Standard Edition Administratorhandbuch Aktivieren von Split DNS Hiermit Failover auf das lokale DNS des Benutzers erm glicht Zwingen der Benutzer sich nach einem Netzwerkausfall oder wenn der Computer aus dem Ruhezustand oder dem Standby Modus aktiviert wird erneut anzumelden Das Access Gateway ber cksichtigt alle Benutzergruppen Wenn ein Benutzer Mitglied mehrerer Gruppen ist wenn das Kontrollk stchen Deny applications without policies aktiviert ist oder wenn das Kontrollk stchen Disable desktop sharing in einer Gruppe aktiviert ist wird der Zugriff auf die Anwendungen des Benutzers verweigert und die Desktopfreigabe wird deaktiviert Dies ist unabh n gig von den Einstellungen in den anderen Gruppen Die folgenden zwei Einstellungen werden zusammen
332. netzwerk herzustellen Erstellen und Installieren von Zertifikaten Das Access Gateway enth lt ein digitales Zertifikat das nicht von einer vertrau ensw rdigen Zertifizierungsstelle signiert ist Installieren Sie auf dem Access Gateway ein digitales X 509 Zertifikat das zu Ihrem Unternehmen geh rt und von einer Zertifizierungsstelle signiert wurde Ihr Unternehmen kann als seine eigene Zertifizierungsstelle agieren Sie k nnen aber auch ein digitales Zertifikat von einer gewerblichen Zertifizierungsstelle beziehen wie z B Verisign und Thawte Achtung Das Betreiben des Access Gateways ohne ein von einer Zertifizie rungsstelle signiertes digitales Zertifikat kann VPN Verbindungen der Gefahr b swilliger Angriffe aussetzen Das Access Gateway akzeptiert Zertifikatdateien im PEM Format Privacy Enhanced Mail PEM ist ein Textformat das die Base 64 Verschl sselung des bin ren DER Formats Distinguished Encoding Rules darstellt Das PEM Format legt die Verwendung der Text BEGIN und END Zeilen fest die die Art des verschl sselten Inhalts angeben 56 Citrix Access Gateway Standard Edition Administratorhandbuch Es gibt zwei M glichkeiten ein sicheres Zertifikat und einen privaten Schl ssel auf dem Access Gateway zu installieren e Erstellen Sie mit dem Administration Tool eine Zertifikatsignieranforde rung Certificate Signing Request CSR Daraufhin werden ein Zertifikat und ein privater Schl ssel erstellt Der
333. ng 85 3 Geben Sie unter User Name einen Benutzernamen ein Benutzernamen k nnen Leerzeichen enthalten Hinweis Bei Benutzernamen muss die Gro und Kleinschreibung nicht beachtet werden Die Verwendung von Schr gstrichen ist in Benutzer namen und Kennw rtern nicht zul ssig Kennw rter d rfen nicht mit einem Leerzeichen beginnen oder enden 4 Geben Sie in die Felder Password und Verify Password das Kennwort f r den Benutzer ein Dieses Kennwort muss der Benutzer bei der Anmeldung eingeben Kenn w rter m ssen zwischen 6 und 127 Zeichen lang sein 5 Klicken Sie auf OK So l schen Sie einen Benutzer vom Access Gateway 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie im linken Bereich in der Liste Local Users mit der rechten Maustaste auf den entsprechenden Benutzer und klicken Sie dann auf Remove Zuweisen von Benutzern zu mehreren Gruppen Nachdem Sie die lokale Benutzerliste erstellt haben k nnen Sie die Benutzer den auf dem Access Gateway erstellten Gruppen hinzuf gen Wenn Sie mehrere Gruppen mit einem Benutzerkonto verkn pfen werden f r den Benutzer die Eigenschaften der ersten auf der Registerkarte Group Priority ausgew hlten Gruppe verwendet So f gen Sie einen Benutzer einer Gruppe hinzu Klicken Sie in der Liste Local Users auf den Benutzer und ziehen Sie ihn auf eine Gruppe ndern von Kennw rtern f r Benutzer Im Administration Tool k nnen Sie das K
334. ngeforderte Ticket f r das Webinterface aus Das Webinterface generiert eine ICA Datei mit dem von der Secure Ticket Authority ausgestellten Ticket und sendet diese Datei an den Clientbrowser Wichtig Die vom Webinterface generierte ICA Datei enth lt den voll qualifizierten Dom nennamen oder die IP Adresse des Access Gateways Der Presentation Server Client erf hrt zu keinem Zeitpunkt die Adresse der Server auf denen Presentation Server ausgef hrt wird Der Clientwebbrowser verwendet die ICA Datei zum Starten des Presentation Server Clients Der Client stellt mit dem vollqualifizierten Dom nennamen aus der ICA Datei eine Verbindung zum Access Gateway her Es kommt zum ersten SSL TLS Handshake um die Identit t des Access Gateways zu ermitteln Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 209 Das Access Gateway erh lt vom Client das Sitzungsticket und kontaktiert zum Zweck der Ticketvalidierung die STA Wenn das Ticket g ltig ist gibt die STA die IP Adresse des Computers zur ck auf dem Presentation Server ausgef hrt wird und auf dem sich die angeforderte Anwendung befindet Wenn das Sitzungsticket ung ltig oder abgelaufen ist informiert die STA das Access Gateway entsprechend und auf dem Clientger t wird eine Fehlermeldung angezeigt Nach Eingang der IP Adresse des Computers auf dem Citrix Presentation Server ausgef hrt wird richtet das Access Gateway eine sichere Verbindung zum
335. ngseinstellungen f r das Access Gateway und die Tools mit denen sie konfiguriert werden beschrieben Hinweis Alle Konfigurations nderungen werden automatisch bernommen und f hren f r die mit dem Access Gateway verbundenen Benutzer zu keinerlei Betriebsunterbrechungen Richtlinien nderungen treten sofort in Kraft Wenn eine Verbindung gegen eine neue Richtlinie verst t wird sie geschlossen In diesem Kapitel werden die folgenden Themen behandelt Access Gateway Verwaltungstools Aktualisieren der Access Gateway Software Neuinstallieren der Access Gateway Software Speichern und Wiederherstellen der Access Gateway Konfiguration Neustarten und Herunterfahren des Access Gateways Zulassen von ICMP Verkehr e Konfigurieren pers nlicher Firewalls von Drittanbietern 256 Citrix Access Gateway Standard Edition Administratorhandbuch Access Gateway Verwaltungstools Bei der Access Gateway Verwaltung wird eine Kombination aus einem Web seitenportal dem Administration Tool und Tools zur Uberwachung von Netz werkverbindungen verwendet Das Administration Tool enthalt samtliche Steuerelemente ftir die Access Gateway Konfiguration Nur die Verwaltung des Administratorkontos kann ausschlie lich ber das Administration Portal und die serielle Konsole vorgenommen werden Folgende Verwaltungstools stehen zur Verf gung Das Administration Tool enth lt Konfigurationssteuerelemente f r das Ger t Im
336. nieren auf welche Netzwerke die Anwendung zugreifen kann und ob beim Herstellen einer Verbindung End punktrichtlinien erf llt werden m ssen Dateifreigaberessourcen die definieren zu welchen Dateifreigaben der Benutzer bei Anmeldung im Kioskmodus eine Verbindung herstellen kann Kioskressourcen die definieren wie sich der Benutzer anmelden kann und auf welche Dateifreigaben und Anwendungen der Benutzer zugreifen kann Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 121 wahrend er angemeldet ist Wenn der Benutzer den Firefox Webbrowser im Kioskmodus verwenden darf ist auch die Webadresse die der Benutzer verwenden darf definiert Endpunktressourcen und richtlinien die die erforderlichen und die optionalen Parameter definieren die auf dem Computer des Benutzers beim Anmelden vorhanden sein m ssen Wenn ein Benutzer zu mehreren Gruppen geh rt gelten f r diesen Benutzer bestimmte Gruppenrichtlinien deren Anwendung sich nach den auf der Register karte Group Priority festgelegten Gruppenpriorit ten richtet Informationen zum Festlegen der Gruppenpriorit ten finden Sie unter Festlegen der Priorit t von Gruppen auf Seite 135 Erstellen von Benutzergruppen Benutzergruppen werden auf der Registerkarte Access Policy Manager erstellt Es ist m glich mehrere Benutzergruppen zu erstellen und zu konfigurieren Beim Erstellen einer neuen Gruppe wird die Eigenschaftenseite angezeigt auf der Sie die
337. nster f r das Access Gateway in der ersten DMZ 2 Wahlen Sie auf der Registerkarte General Networking unter DMZ configuration die Option First hop in double DMZ 3 Optional Aktivieren Sie die Option Configure for Advanced Access Control nur wenn Sie Access Gateway Advanced Edition bereitgestellt haben und eine Verbindung zu Advanced Access Control herstellen m chten 4 Klicken Sie auf Add 5 Geben Sie im Dialogfeld Add appliance from second hop Folgendes ein 240 Citrix Access Gateway Standard Edition Administratorhandbuch A FODN or IP address Geben Sie den vollqualifizierten Dom nen namen oder die IP Adresse eines in der zweiten DMZ installierten Access Gateway Proxyger ts ein Port Der Standardport f r eine SOCKS over SSL Verbindung ist 443 Der Standardport f r eine SOCKS Verbindung ist 1080 Sie k nnen die Standardports nach Bedarf ndern Protocol W hlen Sie SOCKS over SSL wenn Sie die SOCKS Verbindung zum Access Gateway Proxy in der zweiten DMZ mit SSL sichern m chten W hlen Sie SOCKS wenn Sie diese Verbindung ungesichert lassen m chten Hinweis Wenn Sie die Option SOCKS over SSL aktivieren m ssen Sie die entsprechenden SSL Zertifikate installieren Weitere Informationen finden Sie unter Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung auf Seite 246 Optional Second hop appliance MAC address F llen Sie dieses Feld nur aus wenn Sie Access
338. nt unn tige Netzwerkdaten an das Access Gateway sendet Wenn Split Tunneling nicht aktiviert ist empf ngt der Secure Access Client den gesamten vom Clientcomputer ausgehenden Datenverkehr und leitet ihn durch den VPN Tunnel an das Access Gateway weiter Wenn Sie Split Tunneling aktivieren sendet der Secure Access Client nur solche Daten durch den VPN Tunnel die f r durch das Access Gateway gesch tzte Netzwerke bestimmt sind Der Secure Access Client sendet keine Daten die f r ungesch tzte Netzwerke bestimmt sind an das Access Gateway Wenn Sie Split Tunneling aktivieren m ssen Sie eine Liste zug nglicher Netz werke auf der Registerkarte Global Cluster Policies angeben Die Liste der zug nglichen Netzwerke muss alle internen Netzwerke und Subnetzwerke enthal ten auf die der Benutzer eventuell mit dem Secure Access Client zugreifen muss Der Secure Access Client verwendet die Liste der zug nglichen Netzwerke als Filter um zu bestimmen ob vom Clientcomputer gesendete Pakete an das Access Gateway gesendet werden sollen Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 117 Beim Start des Secure Access Clients erh lt er die Liste zug nglicher Netzwerke vom Access Gateway Der Secure Access Client berpr ft alle vom Client computer bertragenen Pakete und vergleicht die Adressen in den Paketen mit der Liste der zug nglichen Netzwerke Wenn die Zieladresse im Paket sich in einem der zug nglichen Netzwer
339. ntation Server mit der Secure Ticket Authority und dem Citrix Lizenzserver aus Wenn Secure Gateway aus der DMZ entfernt und durch das Access Gateway ersetzt wird haben Sie die M glichkeit das Webinterface in das sichere Netz werk zu verschieben Das Access Gateway authentifiziert und autorisiert Benut zer und stellt dann eine Verbindung zum Webinterface her Dadurch wird die Sicherheit erh ht da sich in der DMZ zwei Windows Server weniger befinden Wichtig Wenn sich das Webinterface im sicheren Netzwerk befindet m ssen Authentifizierung und Autorisierung auf dem Access Gateway konfiguriert werden Weitere Informationen hierzu finden Sie unter Konfigurieren der Authentifizierung und Autorisierung auf Seite 77 Das Ersetzen von Secure Gateway durch das Access Gateway hat unter anderem folgende Vorteile Ersetzen eines Windows basierten Servers in der DMZ durch ein zus tzlich abgesichertes Ger t Hinzuf gen von SSL VPN Funktionalit t bei unver ndertem Zugriff auf ver ffentlichte Anwendungen Herstellen von Verbindungen von verschiedenen Clientger ten zu ver f fentlichten Anwendungen im sicheren Netzwerk mit Citrix Presentation Server Clients 200 Citrix Access Gateway Standard Edition Administratorhandbuch Vorbereiten der Migration auf das Access Gateway Vor der Migration von Secure Gateway auf das Access Gateway miissen folgende Punkte berticksichtigt werden Stellen Sie sicher dass Clientge
340. nten fiir Silvio Branco und Lisa Marth auf dem Access Gateway und gibt beiden Benutzern jeweils ein Kennwort So fiigen Sie lokale Benutzer hinzu 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste auf Local Users und w hlen Sie dann die Option New User 3 Geben Sie im Feld User Name Lisa Marth ein 4 Geben Sie in den Feldern Password und Verify Password ein Kennwort fiir Lisa Marth ein und klicken Sie auf OK 5 Wiederholen Sie die Schritte 2 bis 4 um ein lokales Benutzerkonto f r Silvio Branco zu erstellen Erstellen und Zuweisen einer Netzwerkressource fur die Standardbenutzergruppe Das Erstellen und Zuweisen einer Netzwerkressource fiir die Standardbenutzer gruppe Default ist der letzte von drei Arbeitsschritten beim Szenario fiir das Erstellen von Benutzerkonten mit der Liste Local Users Bei diesem Schritt erstellt der Administrator eine Netzwerkressource in der nur der Webkonferenzserver angegeben ist und weist dann diese Ressource der Benutzergruppe Default zu l Erstellen Sie im rechten Bereich der Registerkarte Access Policy Manager im Administration Tool eine neue Netzwerkressource namens Gastressource Geben Sie beim Erstellen dieser Netzwerkressource nur die IP Adresse des Webkonferenzservers an z B 10 10 50 60 32 2 Erweitern Sie im linken Bereich die Benutzergruppe Default Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 329
341. nternehmens berpr fen Dabei k nnen andere Unternehmensabteilungen in den Verifizierungsprozess eingebunden werden wie beispielsweise die 300 Citrix Access Gateway Standard Edition Administratorhandbuch Buchhaltung Unter Umst nden muss die Griindungsurkunde oder ein hn liches Rechtsdokument vorgelegt werden Personen mit der entsprechenden Bevollm chtigung in Ihrem Unternehmen m ssen die von der Zertifizierungsstelle vorgelegten rechtsverbindlichen Vereinbarungen unterzeichnen Da die Zertifizierungsstelle Ihr Unternehmen als K ufer pr ft ist die Einkaufsabteilung bei diesem Prozess vermutlich involviert Sie legen der Zertifizierungsstelle die Kontaktinformationen der jeweiligen Ansprechpartner vor die bei Fragen angerufen werden k nnen Beantragen von Serverzertifikaten Der Sicherheitsexperte Ihres Unternehmens sollte in der Lage sein Server zertifikate zu besorgen Auf den Websites g ngiger Zertifizierungsstellen wie z B von VeriSign finden Sie Anweisungen zum Erstellen von Serverzertifikaten mit verschiedenen Webserverprodukten Weitere Informationen zum Erstellen einer Zertifikatsanforderung finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 Hinweis Mehrere Zertifizierungsstellen bieten Testserverzertifikate f r einen befristeten Zeitraum an Es k nnte sinnvoll sein ein Testzertifikat zum Testen des Access Gateways zu beantragen bevor es in einer Produktionsu
342. ntifizierung Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 89 So konfigurieren Sie die LDAP Authentifizierung l 2 Geben Sie unter IP address die IP Adresse des LDAP Servers ein Geben Sie im Feld Port die Portnummer ein Der Standardport f r den LDAP Server ist 389 Wenn Sie eine indexierte Datenbank verwenden wie z B Microsoft Active Directory mit einem globalen Katalog k nnen Sie durch ndern des LDAP Serverports zu 3268 die Geschwindigkeit der LDAP Abfragen deutlich erh hen Wenn Ihr Verzeichnis nicht indexiert ist empfiehlt Citrix anstelle einer anonymen Verbindung zwischen dem Access Gateway und der Datenbank die Verwendung einer administrativen Verbindung Die Verwendung einer solchen Verbindung verbessert die Downloadgeschwindigkeit F hren Sie einen der folgenden Schritte aus Um unsichere LDAP Verbindungen zuzulassen aktivieren Sie die Option Allow Unsecure Connection Um LDAP Verbindungen zu sichern deaktivieren Sie die Option Allow Unsecure Connection Wenn diese Option nicht aktiviert ist sind alle LDAP Verbindungen sicher Geben Sie unter Administrator Bind DN den Administrator Bind DN f r Abfragen ein die an Ihr LDAP Verzeichnis gerichtet sind Die Syntax f r den Bind DN kann z B wie folgt aussehen Dom ne Benutzername ou Administrator dc ace dc com Benutzer Dom ne Name f r Active Directory cn A dministrator cn Users dc ace dc com F r Active Director
343. olgende Aufgaben ausgefiihrt werden e Ersetzen der Datei login cs durch eine Datei von der Citrix Support Website e Konfigurieren des Webinterface f r Single Sign On Testen der Verbindung zur Kontrolle dass Sie sich anmelden k nnen So ersetzen Sie die Datei login cs 1 Gehen Sie auf der Citrix Support Website http support citrix com kb zum Knowledge Center Artikel CTX106202 2 Laden Sie die Datei AGWISSO zip herunter und extrahieren Sie die darin enthaltenen Dateien Sie ben tigen die Datei login cs die sich in dieser ZIP Datei befindet 3 Melden Sie sich bei dem Server an auf dem das Webinterface ausgef hrt wird 4 Navigieren Sie zu c Inetpub wwwroot Citrix MetaFramelsite include serverscripts login cs 5 Erstellen Sie eine Sicherungskopie der Datei login cs 6 Kopieren Sie die Datei login cs die sich in AGWISSO zip befindet nach c Inetpub wwwroot Citrix MetaFrame site include serverscripts Wenn Sie die Datei login cs ersetzt haben fahren Sie mit den unten aufgefiihrten Arbeitsschritten zur Konfiguration des Webinterface fort Jeder Arbeitsschritt bezieht sich speziell auf Presentation Server 3 0 Presentation Server 4 0 bzw Presentation Server 4 5 So konfigurieren Sie das Webinterface fur MetaFrame Presentation Server 3 0 fur Single Sign On 1 ffnen Sie die Webinterface Konsole indem Sie auf Start gt Programme gt Citrix gt Managementkonsolen gt Webinterface Console klicken 2 W
344. om Clientger t durch den VPN Tunnel festgestellt wurde Netz werkaktivit t vom LAN wird nicht ber cksichtigt Timeout bei inaktiver Sitzung Hierbei wird Netzwerkaktivit t festgestellt aber keine Benutzeraktivit t Benutzeraktivit ten sind Tastatureingaben oder Mausbewegungen Aktivieren von Split DNS sodass der Client nur die Daten durch den VPN Tunnel sendet die an das sichere Netzwerk gerichtet sind IP Pooling wenn jedem Client eine eindeutige IP Adresse zugewiesen ist Anmelde und Portalseitenverwendung womit definiert wird welche Seite dem Benutzer bei der Anmeldung angezeigt wird Die Anmeldeseite kann entweder eine von Citrix bereitgestellte Seite oder eine auf das einzelne Unternehmen zugeschnittene Seite sein Wenn Ihr Unternehmen Citrix Presentation Server verwendet kann die Anmeldeseite das Webinterface sein Wenn Sie dem Benutzer mehrere Optionen zur Anmeldung geben m chten verwenden Sie die Seite mit mehreren Anmeldeoptionen Weitere Informationen hierzu finden Sie unter Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen auf Seite 190 Erzwingen von Clientzertifikaten Zu den Gruppenressourcen geh ren Netzwerkressourcen die die Netzwerke definieren zu denen die Clients eine Verbindung herstellen k nnen Anwendungsrichtlinien die die Anwendungen definieren die die Benutzer bei Herstellung einer Verbindung verwenden k nnen Neben dem Ausw h len der Anwendung k nnen Sie auch defi
345. omputer Ruhezustand 167 Standby Modus 167 CPU Auslastung 290 CRLs siehe Zertifikatsperrlisten D Dateifreigabe Bereitstellungsart 165 Ressourcen 166 Dateifreigaben Kioskmodus 158 Konfigurieren 165 Dateifreigaberessourcen 120 Datenverschl sselung 20 Datum Einstellungen 70 Deaktivieren der Desktopfeigabe 21 Default Bereich 80 Desktopfreigabe 21 Deaktivieren 173 Dienstscanner 289 DNS Failover auf lokales DNS 62 Namensaufl sung 338 Secure Access Client Fenster 157 Servereinstellungen 62 DNS WINS siehe Namensdienstanbieter Dokumentation 15 Herunterladen 258 Dom nenanmeldeskripte 170 Double Hop DMZ 20 33 223 Access Gateway installieren 235 Anmeldeseitenauthentifizierung 230 Bereitstellung 228 Installation des Administration Tools 232 Komponenten 234 Lastausgleich 229 Ports 234 245 TCP IP Einstellungen 48 Verbindungsprozess 225 Zertifikate 234 Downloads Access Gateway Dokumentation 258 Administration Desktop 258 Administration Tool 258 Portalseitenvorlagen 258 Vom Administration Portal 258 Duplex Mode 46 Dynamisches Routing 64 66 In statischer Routentabelle speichern 66 RIP Authentifizierung aktivieren 65 E Eigenschaften Benutzergruppen 122 Gruppe 119 Secure Access Client 268 Eigenst ndige Bereitstellung 18 Eingabeaufforderung Mehrere Stammzertifikate erstellen 62 Endpunktressourcen Entfernen 133 Konfigurieren 131 344 Citrix Access Gateway Standard Edition Administratorhandbuch En
346. on Administratorhandbuch Erstellen einer Kioskmodusressource Der Kioskmodus wird unter Verwendung der Kioskressourcen konfiguriert die die Dateifreigaben und Anwendungen definieren auf die die Benutzer beim Anmelden im Kioskmodus Zugriff haben Standardm ig ist der Kioskmodus deaktiviert Zum Aktivieren des Kioskmodus m ssen die Ressourcen konfiguriert und dann den Benutzergruppen hinzugef gt werden Der Kioskmodus wird auf der Registerkarte Access Policy Manager konfiguriert und dann den Gruppen im linken Bereich hinzugef gt Hinweis Wenn der Benutzer bereits ber einen allgemeinen Internetzugriff verf gt bevor er eine Verbindung herstellt kann der Benutzer ber den Firefox Browser im Webbrowserfenster das Internet durchsuchen sofern keine Netzwerkressource definiert ist die den Zugriff auf das Internet verweigert So erstellen und konfigurieren Sie eine Kioskressource 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf Kiosk Resources und klicken Sie dann auf New Kiosk Resource 3 Geben Sie einen Namen f r die Ressource ein und klicken Sie auf OK 4 Soll eine Dateifreigabe hinzugef gt werden ziehen Sie die Ressource unter File shares auf Shares 5 W hlen Sie die Anwendungen aus auf die die Benutzer im Kioskmodus zugreifen k nnen sollen 6 Aktivieren Sie die Option Save kiosk application settings um die Firefox Grundein
347. on Administratorhandbuch So konfigurieren Sie den Secure Access Client f r Single Sign On unter Windows 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Session options die Option Enable single sign on with Windows 4 Klicken Sie auf OK Hinweis Wenn Sie Zweimethodenauthentifizierung konfiguriert haben ist die Verwendung von Single Sign On nicht m glich Herstellen von Verbindungen mit fr heren Versionen des Secure Access Clients Sie k nnen das Access Gateway so konfigurieren dass auch Verbindungen von fr heren Versionen des Secure Access Clients akzeptiert werden z B dass das Access Gateway 4 5 Verbindungen vom Secure Access Client 4 2 akzeptiert Wenn auch fr here Versionen des Secure Access Clients eine Verbindung zum Access Gateway herstellen sollen legen Sie 3DES oder RC4 als Verschliisse lungsart f r Clientverbindungen fest Fr here Versionen des Secure Access Clients unterst tzen keine AES Verschl sselung und k nnen keine Verbindung aufbauen wenn AES aktiviert ist So erm glichen Sie die Verbindungsherstellung zum Access Gateway mit fr heren Versionen des Secure Access Clients 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 W hlen Sie Allow connections using earlier versions of the Secure Acces
348. oren Die Benutzer k nnen au erdem erst dann wieder auf die Ressourcen im internen Netzwerk zugreifen wenn Sie die stati schen Routen manuell konfiguriert haben Durch das Speichern der aktuellen RIP Daten zum dynamischen Routing wird die Konnektivit t beim Wechsel vom dynamischen Routing zum statischen Routing so lange aufrechterhalten bis Sie die statischen Routen ordnungsgem konfiguriert haben Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 67 So speichern Sie dynamische Routen in der Tabelle mit den statischen Routen 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Klicken Sie auf Save to Static Routes Sobald die dynamischen Routen gespeichert sind k nnen Sie zum statischen Routing wechseln Konfigurieren einer statischen Route Beim Einrichten der Kommunikation mit einem anderen Host oder Netzwerk muss u U eine statische Route vom Access Gateway dem neuen Ziel hinzuge f gt werden sofern Sie kein dynamisches Routing verwenden Richten Sie die statischen Routen auf dem Access Gateway Adapter ein der nicht von dem auf der Registerkarte General Networking angegebenen Standardgateway verwendet wird Ein Beispiel f r das Einrichten einer statischen Route finden Sie unter Beispiel f r eine statische Route auf Seite 68 So f gen Sie eine statische Route hinzu 1 ffnen Sie auf der Registe
349. ouble Hop DMZ Bereit stellung werden unterschiedliche Verbindungen hergestellt N here Erl uterungen zum Verbindungsprozess finden Sie unter Herstellen einer Clientverbindung in einer Double Hop DMZ auf Seite 250 ber den Citrix Internet Presentation Server Client verbundenes Clientger t FIREWALL FIREWALL FIREWALL Access g Gateway Proxy ot 2 Access 28 Se g Gateway S 5 N m 4 5 3 BE 3 her Z5 28 Ss gass 25 es I 3 4 rss SE o Se vZ cB a fe a O 2 a Serverfarm mit Webinterface Secure Ticket Authority und XML Dienst In dieser Abbildung sind die blichen Ports dargestellt die in einer Double Hop DMZ Bereitstellung verwendet werden k nnen Anhand der Tabellen unten k nnen Sie fest legen welche Ports in den einzelnen Firewalls Ihrer Umgebung ge ffnet werden sollen Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 245 Die Tabelle zeigt welche Verbindungen durch die erste Firewall hergestellt werden und welche Ports zur Unterst tzung der Verbindungen offen sein m ssen Verbindungen durch die erste Firewall Verwendete Ports Der Webbrowser stellt ber das Internet eine Verbindung zum Access Gateway in der ersten DMZ her Hinweis Das Access Gateway enth lt eine Option zum Weiterleiten von Verbindungen an Port 80 an einen sicheren Port Wenn diese Option auf dem Access Gateway aktiviert ist k nnen Sie Port 80 an der ersten Firewall ffnen
350. over 24 Access Gateway Standard Edition Administratorhandbuch Access Gateway in der DMZ des Netzwerks Viele Unternehmen sch tzen ihr internes Netzwerk mithilfe einer DMZ Eine DMZ ist ein Subnetz das zwischen dem sicheren internen Netzwerk des Unter nehmens und dem Internet oder einem externen Netzwerk liegt Wird das Access Gateway in der DMZ bereitgestellt greifen die Benutzer ber den Secure Access Client die Citrix Presentation Server Clients oder den Kioskclient auf das Access Gateway zu Hinweis Weitere Informationen zur Bereitstellung des Access Gateways in der DMZ um Zugriff auf eine Serverfarm zu erm glichen finden Sie unter Bereitstellen des Gateways mit Citrix Presentation Server auf Seite 28 Od 4 n Citrix Presentation 2 YD Server gt Heim ee computer al E Mail 4 Server J a Z IR cc cc iL iL Partner Internet Access Gateway Web oder computer Anwendungsserver up Dateiserver Eg Unternehmens NER computer IP Telefone Access Gateway in der DMZ Kapitel 3 Planen der Bereitstellung 25 Installieren des Access Gateways in der DMZ In dieser Konfiguration wird das Access Gateway in der DMZ installiert und so konfiguriert dass eine Verbindung sowohl zum Internet als auch zum internen Netzwerk hergestellt wird Zur Installation und Konfiguration folgen Sie den Anweisungen unter Erstmalige Installation des Access Gateways auf Seite 39
351. ows Kreuz ee ena Gateway emulator computer kabel T Serielles 7 Kabel ee Pee B Windows N 10 20 30 40 ni ea Sompuien DREI switch i w Access Netzwerk Access Gateway kabel JOB Sob Gateway Einfacheres Komplexeres Setup Setup Anschlussm glichkeiten f r das Access Gateway ber ein Kreuzkabel einen Netzwerkswitch oder Terminalemulator 42 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren der TCP IP Einstellungen fur das Access Gateway Die vorkonfigurierte IP Adresse des Access Gateways lautet 10 20 30 40 Die IP Adresse kann mit einem seriellen Kabel und einem Terminalemulations programm oder durch Anschlie en des Access Gateways mit Netzwerkkabeln und dem Administration Tool ge ndert werden Konfigurieren der TCP IP Einstellungen mit dem seriellen Kabel Sie k nnen die serielle Konsole verwenden um die IP Adresse und die Subnetz maske der Access Gateway Schnittstelle 0 sowie die IP Adresse des Standard gatewayger ts festzulegen F r alle anderen Konfigurationsschritte steht Ihnen das Administration Tool zur Verf gung Sie k nnen die serielle Konsole auch verwenden um mit dem Befehl ping eine Verbindung zu testen Wenn Sie das Access Gateway ber die serielle Konsole erreichen m chten bevor Sie irgend welche Konfigurationseinstellungen vornehmen schlie en Sie das Access Gateway ber ein serielles Kabel an einen Computer an auf dem ein Terminal emulator installiert ist
352. pgrades Suchen nach Ger teaktualisierungen Speichern der Ger tekonfiguration e Neustarten und Herunterfahren des Ger ts Initialisieren des Ger ts Durch Klicken auf Log Out k nnen Sie sich vom Administration Portal abmelden Verwalten externer Verbindungen mit dem Administration Portal Wenn Sie das Access Gateway so konfigurieren dass beide Netzwerkadapter verwendet werden kann der externe Adapter standardm ig f r den Zugriff auf das Administration Portal vom Internet aus verwendet werden Sie k nnen den Zugriff vom Internet auf das Administration Portal blockieren indem Sie die Option Enable external administration deaktivieren So blockieren Sie den externen Zugriff auf das Administration Portal 1 Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Deaktivieren Sie auf der Registerkarte Administration unter Access management die Option Enable external administration 3 Klicken Sie auf Apply Change 260 Citrix Access Gateway Standard Edition Administratorhandbuch Uberwachen des Access Gateways mit dem Administration Desktop Der Administration Desktop erm glicht den Zugriff auf die Access Gateway Uberwachungstools Uber die Taskleiste erhalten Sie mit nur einem Mausklick Zugriff auf eine Vielzahl von Standard berwachungsanwendungen f r Linux sowie auf das Tool Citrix Real time Monitor f r die Anzeige und Verwaltung
353. ppe Sie bestimmen ob eine Benutzergruppe ohne eine ACL vollen Zugriff auf Ressourcen in einem Netzwerk hat an das das Access Gateway Daten weiterleiten kann Standardm ig haben Benutzergruppen ohne ACL Zugriff auf alle Ressourcen in allen Netzwerken an die das Access Gateway Daten weiter leiten kann Dieses Standardverhalten empfiehlt sich wenn die meisten Ihrer Benutzergruppen vollen Netzwerkzugriff haben sollen Bei Beibehal tung dieses Standardverhaltens m ssen Sie eine Zugriffssteuerungsliste nur f r die Benutzergruppen konfigurieren die keinen vollen Netzwerkzugriff haben sollen Das Standardverhalten kann auch f r einen ersten Test der Bereitstellung n tzlich sein Sie k nnen das Standardverhalten ndern sodass Benutzergruppen der Netzwerkzugriff so lange verweigert wird bis sie ausdr cklich berechtigt sind auf eine oder mehrere Netzwerkressourcengruppen zuzugreifen Sie konfigurieren Zugriffssteuerungslisten f r Benutzergruppen indem Sie festlegen welche Netzwerkressourcen f r die einzelnen Benutzergruppen zug nglich oder nicht zug nglich sein sollen Standardm ig ist der Zugriff auf alle Netzwerkressourcengruppen erlaubt und der Netzwerkzugriff wird durch die Option Deny Access without access control list ACL auf der Registerkarte Global Cluster Policies gesteuert Wenn Sie den Zugriff auf eine Ressourcengruppe erlauben oder verweigern wird automatisch auch der Zugriff auf alle anderen Ressour cengrupp
354. ppen nach Bedarf zulassen oder verweigern So erstellen und konfigurieren Sie eine Netzwerkressource 1 2 Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie mit der rechten Maustaste im linken Bereich auf Network Resources und klicken Sie dann auf New Network Resource Geben Sie einen Namen f r die Gruppe ein und klicken Sie auf OK Geben Sie unter Network and subnet mask das Paar aus IP Adresse und Subnetzmaske f r die Ressource ein Sie k nnen f r die Subnetzmaske die CIDR Notation verwenden Trennen Sie die einzelnen Eintr ge durch ein Leerzeichen voneinander Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 127 5 Geben Sie unter Port or port range die Ports ein ber die das Access Gateway Verbindungen zu den Netzwerkressourcen herstellen kann Sie haben folgende Optionen Geben Sie eine 0 Null ein um alle Ports zu verwenden Geben Sie einen einzelnen Port ein oder mehrere Ports die nicht in einem Bereich unmittelbar aufeinander folgen Wenn Sie mehrere Ports eingeben trennen Sie sie durch ein Komma Beispiel Wenn Sie Verbindungen ber die Ports 22 80 und 8088 zulassen m chten geben Sie Folgendes ein 22 80 8080 Geben Sie einen Portbereich ein Trennen Sie den ersten Port in der Reihenfolge mit einem Bindestrich vom letzten Port des Bereichs Beispiel Wenn Sie Verbindungen ber alle Ports von 110 bis 120 zulassen m chten geben Sie Folgendes ein
355. ppenressourcen 137 So zeigen Sie die Gruppenpriorit ten f r einen Benutzer an Klicken Sie im Administration Desktop auf das Symbol fiir den Citrix Real time Monitor Es werden alle Gruppen zu denen der Benutzer geh rt und die Gruppe mit der h chsten Priorit t angezeigt Konfigurieren von Richtlinien zur berpr fung vor der Authentifizierung Mit Vorauthentifizierungsrichtlinien k nnen Benutzer von der Anmeldung am Access Gateway ausgeschlossen werden Wenn Benutzer zum Herstellen einer Verbindung zum Access Gateway einen Webbrowser verwenden pr ft die Vor authentifizierungsrichtlinie den Clientcomputer bevor das Anmeldedialogfeld angezeigt wird Wenn die Pr fung ein negatives Ergebnis ausgibt k nnen sich die Benutzer nicht anmelden Zum Anmelden am Webportal muss der Client die richtigen Anwendungen installieren So erstellen Sie Richtlinien zur berpr fung vor der Authentifizierung l Klicken Sie auf die Registerkarte Access Policy Manager 2 W hlen Sie unter End Point Policies die konfigurierte Richtlinie aus und ziehen Sie sie in den linken Bereich auf Pre Authentication Policies unter dem Richtlinienknoten Global Policies Informationen zum Erstellen und Konfigurieren von Endpunktressourcen und richtlinien finden Sie unter Konfigurieren von Endpunktrichtlinien und ressourcen auf Seite 131 138 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Benutzerverbin
356. ps www ag wxyco com Der Client versucht diese SSL Verbindung tiber Port 443 herzustellen Diese Verbindung lasst sich nur dann aufbauen wenn Port 443 in der Firewall ge ffnet ist Das Access Gateway empfangt die Verbindungsanforderung ist jedoch so konfiguriert dass die Anforderung an das Webinterface weitergeleitet wird Das Webinterface sendet eine Anmeldeseite an den Clientbrowser Der Benutzer gibt seine Anmeldeinformationen ein Diese Anmelde informationen werden tiber das Access Gateway an das Webinterface zur ckgegeben Das Webinterface sendet die Anmeldeinformationen des Benutzers an den Citrix XML Dienst der in der Serverfarm ausgef hrt wird Der XML Dienst authentifiziert die Anmeldeinformationen und sendet eine Liste der ver ffentlichten Anwendungen an das Webinterface auf die der Benutzer zugreifen darf Im Webinterface wird auf einer Webseite die Liste der ver ffentlichten Ressourcen angezeigt auf die der Benutzer zugreifen darf diese Webseite wird dann an den Client gesendet Der Benutzer klickt auf den Link einer ver ffentlichten Anwendung An das Webinterface wird eine HTTP Anforderung gesendet aus der die ausgew hlte ver ffentlichte Anwendung hervorgeht Das Webinterface interagiert mit dem XML Dienst und empf ngt ein Ticket in dem der Server vermerkt ist auf dem die ver ffentlichte Anwendung ausgef hrt werden soll Das Webinterface sendet eine Sitzungsticketanforderung an die Secure Ticket
357. r Erstmalige Installation des Access Gateways auf Seite 39 um das Access Gateway Ger t in der ersten DMZ zu installieren Beim Installieren eines Access Gateways in der ersten DMZ konfigurieren Sie dieses zur Verwendung von Interface 0 und Interface 1 Verbinden Sie Interface 0 mit dem Internet oder einem anderen externen Netzwerk und Interface 1 mit der zweiten DMZ W hrend der Installation des Access Gateways installieren Sie das Access Gateway Administration Tool Vor dem Installationsbeginn finden Sie unter Planen der Installation des Access Gateway Administration Tools auf Seite 232 n here Informationen zur Verwendung des Administration Tools in einer Double Hop DMZ Bereitstellung Wenn Sie mehrere Access Gateway Ger te in der ersten DMZ installieren k nnen Sie diese Ger te hinter einem Load Balancer bereitstellen Weitere Informationen hierzu finden Sie unter Unterst tzen von Lastausgleich auf Seite 229 Schritt 2 Aktivieren oder Deaktivieren der Anmeldeseitenauthentifizierung Bei diesem Schritt haben Sie auf dem Access Gateway in der ersten DMZ folgenden M glichkeiten Aktivieren Sie die Anmeldeseitenauthentifizierung damit Benutzer sowohl vom Access Gateway als auch vom XML Dienst authentifiziert werden Deaktivieren Sie die Anmeldeseitenauthentifizierung damit Benutzer nur vom XML Dienst authentifiziert werden N here Informationen zu den Auswirkungen der Aktivierung bzw Deaktivie
358. r die f r die technische Abteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver und mehrere Dateiserver im internen Netzwerk haben Im internen Netzwerk sind zwar drei E Mail Server vorhanden der Administrator m chte Remotebenutzern jedoch nur den Zugriff auf einen dieser E Mail Server gew hren Um den Zugriff auf die internen Netzwerkressourcen in diesem Szenario zu konfigurieren f hrt der Administrator diese beiden grundlegenden Arbeitsschritte aus Vorbereiten der Konfiguration von LDAP Authentifizierung und Autori sierung Konfigurieren des Access Gateways zur Unterst tzung des Zugriffs auf die internen Netzwerkressourcen Diese Arbeitsschritte werden im Folgenden jeweils n her erl utert Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung Die Vorbereitung der Konfiguration von LDAP Authentifizierung und Autori sierung ist der erste Arbeitsschritt den der Administrator beim Szenario f r das Konfigurieren der LDAP Authentifizierung und Autorisierung vom ausf hrt Bei diesem Arbeitsschritt stellt der Administrator die Informationen zusammen die f r die Konfiguration des Access Gateways zur Unterst tzung von LDAP Authentifizierung und Autorisierung erforderlich sind 310 Access Gateway Standard Edition Administratorhandbuch Dabei sind die folgenden Arbeitsschritte erforderlich Festlegen welche internen Netzwerke die jeweils gew nschten R
359. r Kioskmodus die Endpunktressourcen und richtlinien die Portalseiten sowie die IP Pools Weitere Informationen zum Installieren des Access Gateways finden Sie im Handbuch nstallations bersicht f r Citrix Access Gateway Standard Edition oder unter Erstmalige Installation des Access Gateways auf Seite 39 Access Gateway Betriebsmodi Das Access Gateway kann auf vier verschiedene Arten verwendet werden Verbindungen nur ber das Ger t In diesem Szenario wird das Access Gateway als eigenst ndiges Ger t in der DMZ installiert Benutzer stellen mit dem Secure Access Client direkt eine Verbindung zum Access Gateway her und erhalten so Zugriff auf Netzwerkressourcen z B E Mail und Webserver Verbindungen mit dem Webinterface und Citrix Presentation Server In diesem Szenario melden sich Benutzer am Webinterface an und werden dann mit ihren Anwendungen auf Citrix Presentation Server verbunden Je nachdem wie das Access Gateway mit Presentation Server bereitgestellt wurde k nnen Benut zer Verbindungen nur mit den Citrix Presentation Server Clients dem Secure Access Client oder mit beiden Clients gleichzeitig herstellen Weitere Informatio nen hierzu finden Sie unter Bereitstellen von Zugriff auf ver ffentlichte Anwen dungen auf Seite 193 Kapitel 2 Einf hrung in das Citrix Access Gateway 19 Verbindungen mit Access Gateway Advanced Edition In diesem Szenario ist das Access Gateway in der DMZ installiert Anfanglich
360. r Standardbenutzergruppe erben verwenden Benutzer in diesen Gruppen auch Passthrough Authentifizierung Wichtig Sichern Sie die Verbindung zwischen dem Access Gateway und dem Webinterface bevor Sie diese Einstellungen aktivieren Sonst werden Benutzer anmeldeinformationen vom Access Gateway in Klartextform an das Webinter face gesendet So konfigurieren Sie das Access Gateway f r Single Sign On am Webinterface 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie im linken Bereich unter User Groups mit der rechten Maustaste auf eine Gruppe und klicken Sie dann auf Properties 3 Wahlen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface 4 Geben Sie unter Path den Pfad des Webinterface ein z B Citrix MetaFrame auth login aspx 5 Geben Sie unter Web server den vollqualifizierten Dom nennamen des Webinterface ein z B wi company net 6 Klicken Sie auf Single sign on to the Web Interface 7 Klicken Sie auf OK Konfigurieren Sie anschlie end das Webinterface so dass es die vom Access Gateway weitergeleiteten Anmeldeinformationen akzeptiert Kapitel 10 Bereitstellen von Zugriff auf veroffentlichte Anwendungen 219 Konfigurieren des Webinterface fur Single Sign On Sie k nnen MetaFrame Presentation Server 3 0 Citrix Presentation Server 4 0 oder Citrix Presentation Server 4 5 fiir Single Sign On konfigurieren Zum Konfi gurieren des Webinterface miissen f
361. r Zertifikate f r mehrere Ebenen 304 Anfordern von Zertifikaten f r interne Verbindungen 306 Verwenden von Platzhalterzertifikaten 00 cece eee eee ee 306 Anhang C Beispiele fur die Konfiguration des Netzwerkzugriffs Konfigurationsbeispiele 00 00 ccc ccc ce cette een ees 308 Konfigurieren der LDAP Authentifizierung und Autorisierung 309 Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung 2 cee cette teen eens 309 Konfigurieren des Access Gateways zur Unterstiitzung des Zugriffs auf die internen Netzwerkressourcen soras os aA anI cece eee ene ene een eee 315 Szenario f r das Erstellen von Gastkonten mit der Liste Local Users 325 Erstellen eines Authentifizierungsbereichs f r Gastbenutzer 327 Erstellen lokaler Benutzer 0 0 0 2 eens 328 Erstellen und Zuweisen einer Netzwerkressource f r die Standardbenutzergruppe 000 c cece cence tenes 328 Szenario f r das Konfigurieren der lokalen Autorisierung f r lokale Benutzer 329 Anhang D Problembehandlung beim Access Gateway Problembehandlung bei Webinterface Verbindungen 331 Das Webinterface wird angezeigt ohne dass Anmeldeinformationen eingegeben wurden ssi sa Er EERE E E E EEE tnt teen eens 331 Nach dem Anmelden werden keine Anwendungen angezeigt 331 Benutzer werden zu einer Anmeldeseite geleitet auf der sie zum Starten des
362. r wahlweise den Secure Access Client oder den Kioskmodus Der Secure Access Client ist ftir Verbindungen von privaten Computern aus gedacht weil die Daten aus dem Netzwerk zu dem der Benutzer eine Verbindung herstellt an den Computer des Benutzers tibertragen werden Der Kioskmodus eignet sich ftir Verbindungen von einem 6ffentlichen Computer aus weil dabei keine Daten auf den Computer des Benutzers geschrieben werden Wenn Sie jedoch Netzwerkfreigaben konfigurieren k nnen Benutzer Dateien von einem freigegebenen Netzlaufwerk auf den Remotecomputer kopieren Hinweis Sie k nnen das Access Gateway so konfigurieren dass die Option mit der eine Verbindung von einem ffentlichen Computer aus hergestellt wird f r die Benutzer nicht sichtbar ist Weitere Informationen hierzu finden Sie unter Verbindungen im Kioskmodus auf Seite 157 So stellen Sie eine Verbindung von der Standardportalseite aus her l Geben Sie in einen Webbrowser die Webadresse f r das Access Gateway ein Beispiel https vpn meinefirma com Wenn auf dem Access Gateway kein von einer Zertifizierungsstelle signiertes Zertifikat installiert ist wird das Dialogfeld Security Alert angezeigt Klicken Sie auf Ja um fortzufahren Geben Sie auf der Anmeldeseite den Benutzernamen und das Kennwort ein und klicken Sie dann auf Login Die Standardportalseite wird ge ffnet Hinweis Ist die Option Enable logon page authentication auf der Registerkart
363. ragen der Informa tionen verf gen Die Kryptografie mit einem Geheimschl ssel wird auch als symmetrische Verschl sselung bezeichnet Bei diesem Kryptografietyp kennen Absender und Empf nger denselben Geheimcode den sogenannten Schl ssel Das Verschl s seln von Nachrichten auf Seiten des Absenders und das Entschl sseln auf Seiten des Empf ngers erfolgt mit demselben Schl ssel Dieses Verfahren eignet sich f r die Daten bertragung bei einer begrenzten Personenzahl ist allerdings f r den Austausch von Geheimschl sseln bei einer Vielzahl von Personen impraktikabel Au erdem ist die sichere Mitteilung des Geheimschl ssels problematisch Bei der Kryptografie mit einem ffentlichen Schl ssel der sogenannten asymmetrischen Verschl sselung wird ein Schl sselpaar f r die Verschl sselung und Entschl sselung verwendet Dieses Kryptografieverfahren basiert auf Schl sselpaaren n mlich dem ffentlichen und dem privaten Schl ssel Der ffentliche Schl ssel kann ohne Gef hrdung des privaten Schl ssels weiter geleitet werden letzterer muss von seinem Eigent mer geheim gehalten werden Da diese Schl ssel nur paarweise funktionieren l sst sich die mit dem 6ffentli chen Schl ssel vorgenommene Verschl sselung nur mit dem entsprechenden pri vaten Schl ssel entschl sseln Das folgende Beispiel veranschaulicht die Arbeitsweise des Kryptografieverfahrens mit einem ffentlichen Schl ssel 294 Citrix Access Gateway Standar
364. rate die Systemanforderungen erfiillen Weitere Informationen hierzu finden Sie im Client ftir Windows Administratorhandbuch sowie unter Systemvoraussetzungen auf Seite 140 Stellen Sie sicher dass Port 443 der Standardsicherheitsport in der Firewall zwischen dem Internet und dem Access Gateway ge ffnet ist Diese Anforderung entspricht einer Secure Gateway Bereitstellung Access Gateway Version 4 5 verf gt ber eine Funktion zur Portumleitung Sie k nnen s mtlichen Netzwerkverkehr durch Port 80 verhindern oder den Verkehr f r diesen Port an einen sicheren Port typischerweise an Port 443 umleiten Weitere Informationen hierzu finden Sie unter Umleiten von Verbindungen auf Port 80 an einen sicheren Port auf Seite 47 Installieren Sie das Access Gateway gem den Anweisungen unter Erstmalige Installation des Access Gateways auf Seite 39 Erwerben und installieren Sie die entsprechenden Zertifikate auf dem Access Gateway Dazu geh ren folgende Zertifikate Serverzertifikat f r das Access Gateway Der vollqualifizierte Dom nenname auf dem Zertifikat muss mit dem vollqualifizierten Dom nennamen des Access Gateways bereinstimmen Stammzertifikate f r das Access Gateway f r die Secure Ticket Authority sowie f r Clientger te Weitere Informationen zum Installieren von Zertifikaten auf dem Access Gateway finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 55 N here Erl ute
365. rauens w rdig gilt Wird das Access Gateway in einer Umgebung bereitgestellt in der es als Client bei SSL Handshakes fungiert also verschl sselte Verbindungen zu einem anderen Server einleitet installieren Sie ein vertrauensw rdiges Stamm zertifikat auf dem Access Gateway Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 61 Wenn Sie beispielsweise das Access Gateway mit Citrix Presentation Server und mit dem Webinterface installieren k nnen Sie Verbindungen vom Access Gateway zum Webinterface mit SSL verschl sseln Bei dieser Konfiguration muss ein vertrauensw rdiges Stammzertifikat auf dem Access Gateway installiert werden Das auf dem Access Gateway installierte Stammzertifikat muss im PEM Format vorliegen Unter Windows werden Stammzertifikate im PEM Format gelegent lich mit der Dateinamenerweiterung cer gekennzeichnet Sollen Zertifikate f r interne Verbindungen validiert werden muss auf dem Access Gateway ein Stammzertifikat installiert sein So installieren Sie ein Stammzertifikat auf dem Access Gateway 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf der Registerkarte Administration neben Manage trusted root certificates auf Manage 3 Klicken Sie auf der Registerkarte Manage auf Upload Trusted Root Certificate 4 Navigieren Sie zur Datei und klicken Sie auf ffnen Mit Remove Trusted Root Certificate k nnen Sie das Stammze
366. rbindungen stehen RC4 3DES und AES Verschl sselungs sammlungen zur Auswahl Die Standardeinstellung lautet RC4 128 Bit Der MDS5 oder SHA Hash Algorithmus wird zwischen dem Client und dem Server ausgehandelt Bei der Verschl sselung sicherer Verbindungen mit ffentlichem Schl ssel wird RSA verwendet F r die symmetrische Verschl sselung stehen dabei die folgen den Verschliisselungssammlungen und Hash Algorithmen bereit RC4 128 Bit MD5 SHA 3DES SHA AES 128 256 Bit SHA So w hlen Sie eine Verschl sselungsart f r Clientverbindungen aus l Klicken Sie auf die Registerkarte Global Cluster Policies 2 Wahlen Sie unter Select security options im Feld Select encryption type for client connections die gew nschte Verschliisselungssammlung f r sichere Verbindungen aus Klicken Sie auf Submit Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 181 Unterst tzung von VoIP Softphones Echtzeitanwendungen wie Sprach oder Videoanwendungen werden tiber UDP implementiert da TCP aufgrund der Verz gerungen durch Quittierungen und erneute bertragung verlorener Pakete f r Echtzeitverkehr nicht geeignet ist Bei diesen Anwendungen ist es wichtiger die Pakete in Echtzeit zu liefern als sicher zustellen dass alle Pakete ihr Ziel erreichen Diese Echtzeitleistung l sst sich mit keinen der auf TCP basierenden Tunnelverfahren erreichen Das Access Gateway umgeht dieses Problem indem UDP Pakete
367. rdgatewayger t falls erforderlich Weitere Informationen finden Sie in der Dokumentation des Load Balancer Herstellers e Vollqualifizierten Dom nennamen des Server Load Balancers der als externe ffentliche Adresse des Access Gateways verwendet wird F r die Verbindungen zu verwendender Port Hinweis Das Access Gateway funktioniert nicht mit DHCP Dynamic Host Configuration Protocol F r das Access Gateway ist die Verwendung statischer IP Adressen erforderlich Kapitel 4 Erstmalige Installation des Access Gateways 41 Einrichten der Access Gateway Hardware Dieser Abschnitt enth lt Anweisungen f r die erstmalige Einrichtung des Access Gateways So schlie en Sie das Access Gateway an 1 Installieren Sie das Access Gateway in einem Rack sofern gew nscht Weitere Informationen zum Installieren des Access Gateways in einem Rack finden Sie im Handbuch nstallations bersicht f r Citrix Access Gateway Standard Edition 2 Stecken Sie das Stromkabel in die Netzsteckdose 3 Verbinden Sie entweder das serielle Kabel mit einem Windows Computer ein Kreuzkabel mit einem Windows Computer oder ein RJ45 Netzwerkkabel mit einem Netzwerkswitch und dem Access Gateway 4 Konfigurieren Sie die TCP IP Einstellungen mit der Anleitung unter Konfigurieren der TCP IP Einstellungen f r das Access Gateway auf Seite 42 Windows u Netzwerk Interface 0 Computer mit 7 s kabel 10 20 30 40 Access Terminal Wind
368. re auf Ihrem Computer Daraufhin wird die gesamte Access Gateway Konfiguration gespeichert einschlie lich der Systemdateien installierten Lizenzen und installierten Server zertifikate Nach der Installation der Access Gateway Software k nnen Sie die gespeicherte Konfiguration wiederherstellen So stellen Sie eine gespeicherte Konfiguration wieder her 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich Upgrade and configuration management neben Upload an upgrade or saved configuration auf Browse 3 Suchen Sie die Datei config restore und klicken Sie auf ffnen Nachdem die Konfigurationsdatei hochgeladen wurde starten Sie das Access Gateway neu und alle Konfigurationseinstellungen Lizenzen und Zertifikate werden wiederhergestellt Kapitel 12 Warten des Access Gateways 265 Wenn Sie die RSA SecurID Authentifizierung verwenden m ssen Sie das Node Secret auf dem RSA ACE Server zuriicksetzen siehe dazu Zurticksetzen des Node Secret auf Seite 103 Da die Access Gateway Einstellungen wiederherge stellt wurden befindet sich das Node Secret nicht mehr auf dem Access Gateway sodass jeder Versuch einer RSA ACE Server Authentifizierung scheitert bis das Node Secret zur ckgesetzt worden ist Neustarten und Herunterfahren des Access Gateways Sie k nnen das Access Gateway mit dem Administration Portal oder dem A
369. reifen ber das Netzwerk auf Unternehmensressourcen zu Sie k nnen Zugriff auf beliebige Subnetze Ihres Netzwerks gew hren oder verweigern Beispiel Sie k nnen einem Benutzer Zugriff auf eine Dateifreigabe auf Ihrem Netzwerk gew hren oder dem Benutzer vollen Zugriff auf alle Ressourcen im Netzwerk geben Wenn Sie Netzwerkzugriff und Gruppenressourcen konfigu rieren erstellen Sie Zugriffssteuerungslisten Basierend auf diesen Listen k nnen Sie steuern auf welche Ressourcen Benutzer zugreifen k nnen wenn Sie eine Verbindung zum Unternehmensnetzwerk herstellen In diesem Kapitel wird die Konfiguration von Netzwerkrichtlinien erl utert die Benutzern den Zugriff auf das sichere Netzwerk erm glichen Unter anderem werden folgende Themen behandelt Konfigurieren des Netzwerkrouting Bereitstellen von Netzwerkzugriff f r Benutzer Aktivieren von Split Tunneling und zug nglichen Netzwerken e Konfigurieren von Benutzergruppen Konfigurieren von Ressourcen f r eine Benutzergruppe Konfigurieren von Netzwerkressourcen Festlegen von Anwendungsrichtlinien Konfigurieren von Endpunktrichtlinien und ressourcen 114 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren des Netzwerkrouting Um Zugriff auf interne Netzwerkressourcen zu gew hren muss das Access Gateway in der Lage sein Daten an interne Netzwerke weiterzuleiten Die Netzwerke an die das Access Gateway Daten weiterleiten kann
370. reifen k nnen Dabei sind die folgenden f nf Arbeitsschritte erforderlich Konfigurieren der zug nglichen Netzwerke Erstellen eines LDAP Authentifizierungsbereichs Erstellen der entsprechenden Gruppen auf dem Access Gateway Erstellen und Zuweisen von Netzwerkressourcen f r die Benutzergruppen Erstellen einer Anwendungsrichtlinie f r den E Mail Server Diese Schritte werden im Folgenden genauer erl utert Konfigurieren der zug nglichen Netzwerke Das Konfigurieren der zug nglichen Netzwerke ist der erste von f nf Arbeits schritten die der Administrator ausf hrt um beim Konfigurationsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netz werkressourcen zu konfigurieren In diesem Arbeitsschritt gibt der Administrator die internen Netzwerke mit den Netzwerkressourcen an auf die Benutzer ber den Secure Access Client zugreifen m ssen Im vorigen Arbeitsschritt hat der Administrator festgelegt dass Remotebenutzer aus den Abteilungen Vertrieb und Technik auf die in die Ressourcen in folgenden internen Netzwerken Zugriff haben m ssen Webkonferenzserver Dateiserver und E Mail Server in Netzwerk 10 10 0 0 24 Server mit der Webanwendung f r den Vertrieb in Netzwerk 10 60 10 0 24 Der Administrator legt diese Netzwerke als zug ngliche Netzwerke fest Durch die Angabe der zug nglichen Netzwerke kann der Secure Access Client Split Tunneling unterst tzen 316
371. reitstellung Daten bertragung in einer Double Hop DMZ Konfiguration In diesem Abschnitt wird die Daten bertragung erl utert die bei einer Clientver bindung zwischen den verschiedenen Komponenten in einer Double Hop DMZ abl uft Um zu verstehen welche Konfigurationsaspekte bei der Bereitstellung einer Double Hop DMZ zu ber cksichtigen sind sollten Sie grunds tzlich wissen wie die Kommunikation zwischen den verschiedenen Komponenten in einer Double Hop DMZ erfolgt Der Daten bertragung zwischen den Komponenten wird in drei separaten Phasen beschrieben Clientauthentifizierung Erstellung von Sitzungstickets Verbindungsherstellung Hinweis Eine detailliertere Beschreibung dieses Prozesses finden Sie unter Herstellen einer Clientverbindung in einer Double Hop DMZ auf Seite 250 226 Citrix Access Gateway Standard Edition Administratorhandbuch Clientauthentifizierung Die Clientauthentifizierung ist die erste Phase beim Herstellen einer Clientverbin dung in einer Double Hop DMZ Bereitstellung Access Gateway Proxy Access ar Gateway 4 u ao ZZ lt f lt Nun NN gt gt a oe HTTP gt u m T i ite i Uber einen Internet N Webbrowser a verbundenes Serverfarm mit Clientgerat Webinterface parallel Secure Ticket zum Access Authority und Gateway installiert XML Dienst Datentibertragung bei der Clientauthentifizierung in einer Double Hop DMZ Wahrend der Client
372. ren 4 Geben Sie in den Feldern IP Adresse und Port die IP Adresse und die Portnummer ein 5 Wenn der Server eine Authentifizierung erfordert w hlen Sie Proxyserver erfordert Authentifizierung Das Dialogfeld Erweiterte Optionen kann auch ge ffnet werden indem Sie mit der rechten Maustaste auf das Citrix Secure Access Symbol auf dem Desktop klicken und im Kontextmen die Option Eigenschaften w hlen Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 149 Konfigurieren des Secure Access Clients fur Benutzer ohne Administratorrechte Ist ein Benutzer auf einem Computer mit Windows 2000 Professional nicht als Administrator angemeldet muss der Secure Access Client lokal auf dem Client computer installiert und dann tiber die Webadresse https FODN citrixsaclient exe gestartet werden FODN bezeichnet hierbei die Adresse des Access Gateways Das ActiveX Applet ist nicht mit den n tigen Rechten ausgestattet um die Datei herunterzuladen und zu installieren Clients die an Windows 2003 Server oder Windows XP als Nicht Administratoren ange meldet sind k nnen das ActiveX Applet herunterladen und installieren Ein Benutzer der nicht als Administrator angemeldet ist und die Verbindung tiber den Secure Access Client herstellt muss damit rechnen dass Anwendungen wie Microsoft Outlook gelegentlich die Verbindung zum Netzwerk verlieren Konfigurieren von Single Sign on fur Windows Betriebssysteme Standar
373. ren Clientzugriff verwalten und dann auf Gateway Einstellungen bearbeiten Geben Sie im Dialogfeld Gateway Einstellungen bearbeiten unter Gateway Server im Feld Adresse FQDN die IP Adresse oder den vollqualifizierten Dom nennamen des Access Gateways ein Geben Sie unter Port die Portnummer ein Der Standardwert ist 443 Aktivieren Sie die Option Sitzungszuverl ssigkeit aktivieren Klicken Sie auf OK Bereitstellen des Access Gateways in einer Double Hop DMZ Einige Unternehmen verwenden drei Firewalls zum Schutz ihrer internen Netz werke Diese drei Firewalls unterteilen die DMZ in zwei Bereiche sodass ein zus tzliches Ma an Sicherheit f r das interne Netzwerk erzielt wird Diese Netz werkkonfiguration wird als Double Hop DMZ bezeichnet Access Gateway Proxy p Access Gateway FIREWALL FIREWALL FIREWALL Internet a use Ue Uber den Citrix x k gt Presentation Server R en Client verbundenes Webinterface parallel Ticket Authority Clientgerat entg zum Access Gateway und XML Dienst installiert Access Gateway Ger te in einer Double Hop DMZ Sie k nnen Access Gateway Ger te in einer Double Hop DMZ bereitstellen um den Zugriff auf Server zu steuern auf denen Citrix Presentation Server ausgef hrt wird wie in der Abbildung oben dargestellt In einer Double Hop DMZ Bereitstellung stellen Benutzer mit einem Web browser und einem Citrix Presentation Server Client eine Verbindung zum Access Gatew
374. rer Access Gateway Ger te zur Gew hrleistung hoher Verf gbarkeit finden Sie unter Unterst tzen von Last ausgleich auf Seite 229 Wenn das Access Gateway in der zweiten DMZ installiert ist m ssen Sie das Administration Tool installieren oder das Ger t mit einem bereits installierten Administration Tool einem Cluster hinzuf gen N here Informationen zur Verwendung des Administration Tools in einer Double Hop DMZ Bereitstellung finden Sie unter Planen der Installation des Access Gateway Administration Tools auf Seite 232 Schritt 5 Konfigurieren des Access Gateways f r die Kommunikation mit dem Access Gateway Proxy Beim Bereitstellen des Access Gateways in einer Double Hop DMZ m ssen Sie das Access Gateway Ger t in der ersten DMZ f r die Kommunikation mit dem Access Gateway Proxyger t in der zweiten DMZ konfigurieren Wenn Sie mehrere Ger te in der zweiten DMZ bereitgestellt haben m ssen Sie jedes Access Gateway in der ersten DMZ so konfigurieren dass es mit jedem Access Gateway Ger t in der zweiten DMZ Daten austauschen kann Mit der nachstehend beschriebenen Vorgehensweise k nnen Sie die Kommunika tion zwischen einem Access Gateway in der ersten DMZ und einem oder mehre ren Access Gateway Ger ten in der zweiten DMZ konfigurieren So konfigurieren Sie das Access Gateway f r die Kommunikation mit dem den Access Gateway Proxyger t en 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fe
375. rface hinter dem Access Gateway in der DMZ In dieser Konfiguration werden sowohl das Access Gateway als auch das Webinter face in der DMZ bereitgestellt Die anf ngliche Clientverbindung geht zum Access Gateway und wird dann an das Webinterface umgeleitet Ein Beispiel f r diese Konfiguration finden Sie unter Herstellen einer sicheren Verbindung zur Serverfarm auf Seite 30 Bereitstellen des Access Gateways parallel zum Webinterface in der DMZ In dieser Konfiguration werden sowohl das Access Gateway als auch das Webinter face in der DMZ bereitgestellt die anf ngliche Clientverbindung geht jedoch nicht zum Access Gateway sondern zum Webinterface Das Webinterface erzeugt in Interaktion mit der Secure Ticket Authority eine ICA Datei mit der sichergestellt wird dass der Datenverkehr von den Presenta tion Server Clients durch das Access Gateway an einen Computer in der Server farm weitergeleitet wird auf dem Presentation Server ausgef hrt wird Wenn Sie das Webinterface parallel zum Access Gateway in der DMZ bereit stellen muss das Webinterface ein Mitglied der Windows Dom ne sein Bereitstellen des Access Gateways in der DMZ und Bereitstellen des Webinterface im internen Netzwerk Bei dieser Konfiguration werden Benut zeranforderungen durch das Access Gateway authentifiziert bevor sie an das Webinterface im sicheren Netzwerk weitergeleitet werden Das Webinterface bernimmt nicht selbst die Authentifizierung sondern erz
376. rfarm Direkte Verbindungen mit Citrix Presentation Server Client und Secure Access Client In diesem Szenario kann der Benutzer ber zwei separate Verbindungen gleichzeitig eine Verbindung zum Unternehmensnetzwerk herstellen Die erste Verbindung verwendet einen Presentation Server Client um die Verbindung mit den oben aufgef hrten Schritten herzustellen Falls Benutzer auf andere Ressourcen im Unternehmensnetzwerk zugreifen m ssen k nnen Sie sich auch ber den Secure Access Client anmelden Beispiel Ein Benutzer m chte im Unternehmensnetzwerk eine Verbindung mit einem Microsoft Exchange Server herstellen Er startet Microsoft Outlook auf seinem Computer Es wird eine sichere Verbindung mit dem Secure Access Client herge stellt der wiederum eine Verbindung zum Access Gateway herstellt Der SSL VPN Tunnel zum Exchange Server wird hergestellt sodass der Benutzer seine E Mails abrufen kann 196 Citrix Access Gateway Standard Edition Administratorhandbuch Verbindung 1 Citrix Presentation Server Clients ICA oder Sitzungs zuverlassigkeit Access g F ICA Verbindung Gateway fr z lt Citrix Presentation Server mit Lu vu Secure Ticket Authority cc cc m i gt Sichere Verbindung n se ber SSL VPN Tunnel Verbindung 2 wird Verbindung 2 direkt an den E Mail N Secure Access Server geleitet E Mail Client Server Gleichzeitige Verbindung mit Citrix Presentation Server Client und Secure Access Cli
377. rhandbuch Ausw hlen einer Portalseite f r eine Gruppe Standardm ig melden sich alle Benutzer am Access Gateway ber den Secure Access Client an Der Zugriff auf den Secure Access Client kann ber die Stan dardportalseite erfolgen oder die Benutzer laden den Client herunter und installie ren ihn lokal auf ihrem Computer Sie k nnen benutzerdefinierte Portalseiten auf das Access Gateway laden Informationen hierzu finden Sie unter Installieren benutzerdefinierter Portalseitendateien auf Seite 188 und dann f r jede Gruppe eine Portalseite ausw hlen Auf diese Weise k nnen Sie steuern welche Access Gateway Clients f r die jeweiligen Gruppen verf gbar sind Hinweis Das Deaktivieren der Anmeldeseitenauthentifizierung auf der Registerkarte Global Cluster Policies berschreibt die Anmeldeseiten einstellung f r alle Gruppen Weitere Informationen hierzu finden Sie unter Aktivieren der Anmeldeseitenauthentifizierung auf Seite 183 So legen Sie eine Portalseite f r eine Gruppe fest 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager unter User Groups auf eine Gruppe und klicken Sie dann auf Properties 2 Klicken Sie auf der Registerkarte Gateway Portal unter Portal configuration auf Use custom portal page und w hlen Sie dann die Seite aus Klicken Sie auf OK Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen Sie k nnen festlegen dass den Benutzern eine Webse
378. rieren des Netzwerkrouting 0 00 cece cece cee eens 114 Bereitstellen von Netzwerkzugriff f r Benutzer 00 0 000 eee 114 Aktivieren von Split Tunneling und zug nglichen Netzwerken 116 Konfigurieren von Benutzergruppen 00 cece cece eens 117 Konfigurieren von Zugriffssteuerungslisten 0 000 c ee eee eee 118 Erstellen lokaler Benutzergruppen 000 e cece eee eee eee 119 Konfigurieren von Ressourcengruppen 000 cece cece eee eens 119 Erstellen von Benutzergruppen 2 2 22 0 c cece cee teens 121 Eigenschaften der Standardgruppe Default 22 2 2 122 6 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Ressourcen f r eine Benutzergruppe 222222220 123 Konfigurieren von Benutzern die mehreren Gruppen angeh ren 124 Konfigurieren von Netzwerkressourcen 0 0 ee eee eee ee eee eee 125 Zulassen und Verweigern von Netzwerkressourcen und Anwendungsrichtlinien 0 0 0 0 e eens 127 Festlegen von Anwendungsrichtlinien 2 cee eee eee eee ee 129 Konfigurieren von Endpunktrichtlinien und ressourcen 222 222 131 Konfigurieren von Endpunktressourcen 00 cece eee eee eee 131 Erstellen einer Endpunktrichtlinie f r eine Gruppe 22 2222 133 Festlegen der Priorit t von Gruppen 1 0 0 0 cc ccc eee eens 135 Konfigurieren von Richt
379. rkarte Access Gateway Cluster das Fenster f r das Ger t und klicken Sie auf die Registerkarte Routes 2 W hlen Sie unter Select routing type die Option Static routing 3 Geben Sie unter Add a Static Route im Feld Destination LAN IP address die IP Adresse des Ziel LANSs ein 4 Geben Sie unter Subnet mask die Subnetzmaske f r das Gatewayger t ein 5 Geben Sie unter Gateway die IP Adresse f r das Standardgateway ein Wenn Sie kein Gateway angeben kann das Access Gateway nur auf den Inhalt im lokalen Netzwerk zugreifen 6 Wahlen Sie unter Interface den Netzwerkadapter f r die statische Route aus Die Standardeinstellung lautet Interface 0 Klicken Sie auf Add 7 Klicken Sie auf der Registerkarte General Networking auf Submit Der Routenname wird in der Liste Static Routes angezeigt 68 Citrix Access Gateway Standard Edition Administratorhandbuch So testen Sie eine statische Route l 2 3 Klicken Sie auf Start gt Ausf hren Geben Sie im Feld ffnen cmd ein und dr cken Sie die Eingabetaste Geben Sie an der Eingabeaufforderung den Befehl ping IP Adresse f r das Ger t ein an das der Ping Befehl gesendet werden soll und dr cken Sie die Eingabetaste Wenn eine erfolgreiche Kommunikation mit dem anderen Ger t zustande kommt wird eine entsprechende Meldung eingeblendet dass die gleiche Anzahl von Paketen gesendet und empfangen wurde und keine Pakete verloren gegangen sind Wenn keine Kommuni
380. rmationen Klicken Sie unter Information about the licensing server auf Refresh all information Aktualisieren vorhandener Lizenzen Als Subscription Advantage Mitglied k nnen Sie Ihre vorhandenen Access Gateway Lizenzen austauschen migrieren und damit Ihre Lizenzdateien auf den neuesten Stand bringen Kulanzzeitraum f r die Lizenzierung Bei der Installation des Access Gateways beginnt ein viert giger Kulanzzeitraum w hrend dessen Ihnen zwei Lizenzen zur Verf gung stehen Bis zum Ablauf dieser Frist muss die Lizenz auf dem Ger t installiert werden ansonsten k nnen sich die Benutzer nicht anmelden Sollte der Access Gateway Lizenzserver ausfallen beginnt ein drei igt giger Kulanzzeitraum auf dem Remoteger t Das Remote Access Gateway speichert das Datum an dem zum letzten Mal eine Verbindung zum Lizenzserver aufge nommen wurde Die Benutzer k nnen sich w hrend dieses Kulanzzeitraums wie gewohnt anmelden Sobald das Remoteger t den Lizenzserver erkennt wird der drei igt gige Kulanzzeitraum zur ckgesetzt Bei einem erneuten Ausfall des Lizenzservers erhalten die Benutzer erneut eine drei igt gigen Kulanzzeitraum Testen der Lizenzinstallation Erstellen Sie zum Testen der Konfiguration einen Testbenutzer und melden Sie sich dann mit den Anmeldeinformationen die Sie f r diesen Benutzer angelegt haben ber den Secure Access Client an So testen Sie die Konfiguration l ffnen Sie das Administration Tool 2
381. roxys fiir die Kommunikation mit dem Access Gateway 0 c ccc ccc eet e nee e eee 241 Schritt 7 Konfigurieren des Access Gateways fiir den Secure Ticket Authority und ICA Datenverkehr io io aeie eee eee n eens 242 Schritt 8 ffnen der entsprechenden Ports in den Firewalls 244 Schritt 9 Verwalten von SSL Zertifikaten in einer Double Hop DMZ Bereitstellung us ae nn ln BE Seta ee ee 246 Herstellen einer Clientverbindung in einer Double Hop DMZ 250 Clientauthentifizierung 0 cect een ees 250 Erstellung von Sitzungstickets 0 ccc cece eee eee 251 Starten des Cheni cessie erias Ea cence eee A AAE 252 Verbindungsherstellung 2 0 eect ence eee 252 Kapitel 12 Warten des Access Gateways Access Gateway Verwaltungstools 0 cece ccc eens 256 Administration Tool 2 0 2 2 eee eee e eee n nee nen 256 Administration Portal 0 ccc cnet nen eens 257 berwachen des Access Gateways mit dem Administration Desktop 260 Aktualisieren der Access Gateway Software 0 0 000 c cece ees 261 Installieren des Software Upgrades 00 cc cece cece eee eee 262 Neuinstallieren der Access Gateway Software 00 cee cece eee 263 Speichern und Wiederherstellen der Access Gateway Konfiguration 264 Neustarten und Herunterfahren des Access Gateways 00000 ee eee 265 Neustarten des Access Gateways 0 0c cece eee ncn eee eens 265
382. rstellen k nnen Beispiel Ihr Cluster besteht aus drei Ger ten Wenn die vollqualifizierten Dom nennamen des ersten und des zweiten Ger ts in der Datei sdconf rec enthalten sind der des dritten Ger ts aber nicht k nnen die Benutzer nur mit den ersten beiden Ger ten Verbindungen zum RSA Server herstellen Zur cksetzen des Node Secret Wenn Sie die Konfiguration des Access Gateways mit einer gespeicherten Konfigurationsdatei wiederhergestellt und dabei dieselbe IP Adresse wie vorher verwendet haben m ssen Sie das Node Secret auf dem RSA ACE Server zur cksetzen Da die Konfiguration des Access Gateways wiederhergestellt wurde gibt es auf dem Access Gateway kein Node Secret mehr sodass jeder Versuch der Authentifizierung mit dem RSA ACF Server fehlschl gt Nachdem Sie den gemeinsamen geheimen Schl ssel auf dem RSA ACE Server zur ckgesetzt haben wird der RSA ACE Server beim n chsten Authentifizie rungsversuch aufgefordert ein Node Secret an das Access Gateway zu senden 104 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren der Authentifizierung mit Secure Computing SafeWord Die Safe Word Produkte bieten sichere Authentifizierung mit tokenbasierten Passcodes Nach einmaliger Verwendung wird der Passcode von Safe Word sofort ung ltig gemacht und kann nicht mehr verwendet werden Wenn das Access Gateway das Secure Gateway w hrend einer Secure Gateway und Webinterface Bereitstellung ersetzt
383. rt verwendet Das folgende Beispiel veranschaulicht die Arbeitsweise Herr M ller m chte geheime Informationen mit Frau Meier austauschen und erh lt daher ihren ffentlichen Schl ssel Au erdem erstellt er nur f r diese Sitzung eine beliebige Ziffernfolge auch Sitzungsschl ssel genannt Herr M ller verwendet den ffentlichen Schl ssel von Frau Meier zum Chiffrieren des Sitzungsschl ssels Herr M ller leitet die verschl sselte Nachricht und den chiffrierten Sitzungsschl ssel an Frau Meier weiter Frau Meier verwendet ihren privaten Schl ssel um die Nachricht von Herrn M ller zu entschl sseln und den Sitzungsschl ssel zu extrahieren Wenn Herr M ller und Frau Meier den Sitzungsschl ssel mit Erfolg austauschen er brigt sich die Kryptografie mit einem ffentlichen Schl ssel Der Daten und Informationsaustausch erfolgt dann nur auf Basis des Sitzungsschl ssels Die Verschl sselung mit einem ffentlichen Schl ssel wird beispielsweise zur Weiter leitung des geheimen Schl ssels verwendet Beim Austausch des geheimen Schl ssels erfolgt die Daten bertragung durch Verschl sselung mit dem gehei men Schl ssel Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 295 Diese L sung bietet die Vorz ge beider Verfahren d h die Geschwindigkeit der Verschl sselung mit einem geheimen Schl ssel und die Sicherheit der Verschl s selung mit einem ffentlichen Schl ssel Digitale Zertifikate
384. rtifikat wieder entfernen Installieren mehrerer Stammzertifikate Es ist m glich mehrere Stammzertifikate auf dem Access Gateway zu installie ren diese Zertifikate m ssen sich allerdings in einer einzigen Datei befinden Beispiel Sie k nnen eine Textdatei in einem Texteditor z B in Editor erstellen die alle Stammzertifikate enth lt ffnen Sie die einzelnen Stammzertifikate in einer anderen Instanz des Texteditors Kopieren Sie den Inhalt der Zertifikate und f gen Sie diesen kopierten Inhalt jeweils unterhalb der letzten Zeile in die neue Textdatei ein Sobald Sie alle Zertifikate in die neue Textdatei kopiert haben speichern Sie die Datei im PEM Format und laden Sie sie auf das Access Gateway hoch 62 Citrix Access Gateway Standard Edition Administratorhandbuch Erstellen von Stammzertifikaten ber eine Eingabeaufforderung Alternativ k nnen Sie Stammzertifikate im PEM Format ber eine DOS Einga beaufforderung erstellen Wenn Sie drei PEM Stammzertifikate besitzen k nnen Sie beispielsweise mit dem nachstehenden Befehl eine einzige Datei mit allen drei Zertifikaten erstellen type rootl pem root2 pem root3 pem gt current roots pem Sollen weitere Stammzertifikate in eine vorhandene Datei eingef gt werden verwenden Sie folgenden Befehl type root4 pem root5 pem gt gt current roots pem Nach der Ausf hrung dieses Befehls befinden sich alle f nf Stammzertifikate in der Datei current roots pem Mit dem zwei
385. rtifikate enthalten u a folgende Informationen Aussteller Die Organisation von der die Zertifikate ausgestellt werden Betreff Die Identit t die durch das Zertifikat identifiziert wird G ltigkeitsdauer Das Start und Ablaufdatum eines Zertifikats ffentlicher Schl ssel Der zum Verschl sseln der Daten verwendete ffent liche Schl ssel des Betreffs Signatur des Ausstellers Die digitale Signatur der Zertifizierungsstelle f r das Zertifikat anhand dessen seine Authentizit t gew hrleistet wird Einige Unternehmen und Organisationen fungieren derzeit als Zertifizierungs stellen u a VeriSign Baltimore Entrust und ihre jeweiligen verbundenen Unternehmen Zertifikatketten Einige Organisationen delegieren die Ausstellung von Zertifikaten um das mit der r umlichen Trennung zwischen Organisationseinheiten einhergehende Problem oder das Problem das auf die Anwendung unterschiedlicher Ausstel lungsrichtlinien f r verschiedene Organisationsbereiche zur ckzuf hren ist zu l sen Die Verantwortung f r die Ausstellung von Zertifikaten kann durch die Einrich tung von untergeordneten Zertifizierungsstellen delegiert werden Der X 509 Standard enth lt ein Modell mit dem sich eine Hierarchie von Zertifizierungs stellen engl Certificate Authority CA einrichten l sst Bei diesem Modell befindet sich die Stammzertifizierungsstelle auf der obersten Hierarchieebene und hat ein selbst signiertes Zertifikat Die der Sta
386. rufen F r den Fall dass das Access Gateway aufgrund der Netzwerkkonfiguration nicht auf den DNS Server zugreifen kann sollten Sie die entsprechenden Eintr ge in die HOSTS Datei aufnehmen damit die Adressaufl sung reibungslos abl uft Dies kann sich au erdem positiv auf die Leistung auswirken weil das Access Gateway keine Verbindung zu einem anderen Server aufbauen muss um die Adressen zu bersetzen 64 Citrix Access Gateway Standard Edition Administratorhandbuch So f gen Sie der HOSTS Datei einen Eintrag hinzu 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Name Service Providers 3 Geben Sie unter Edit the HOSTS file in das Feld IP address die IP Adresse ein die einem bestimmten vollqualifizierten Dom nennamen zugewiesen werden soll 4 Geben Sie in das Feld FODN den vollqualifizierten Dom nennamen ein den Sie mit der im vorigen Schritt eingegebenen IP Adresse verkn pfen m chten 5 Klicken Sie auf Add Die Gruppe aus IP Adresse und HOSTS Name wird in der Hosttabelle aufgef hrt So entfernen Sie einen Eintrag aus der HOSTS Datei 1 Klicken Sie unter Host Table auf die Gruppe aus IP Adresse und HOSTS Name die Sie l schen m chten 2 Klicken Sie auf Remove Konfigurieren von dynamischen und statischen Routen Sie k nnen das Access Gateway f r das dynamische oder statische Routing konfigurieren Das Access Gateway
387. rung der Anmeldeseitenauthentifizierung finden Sie unter Verwenden der Anmelde seitenauthentifizierung in einer Double Hop DMZ auf Seite 230 Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 237 So aktivieren oder deaktivieren Sie die Anmeldeseitenauthentifizierung 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren oder deaktivieren Sie unter Advanced options die Option Enable logon page authentication 3 Klicken Sie auf Submit Wenn Sie die Anmeldeseitenauthentifizierung aktivieren sollten Sie auch die Option f r Single Sign On am Webinterface aktivieren N here Anweisungen zum Aktivieren von Single Sign On finden Sie unter Schritt 3 Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface Schritt 3 Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface In einer Double Hop DMZ Bereitstellung m ssen Sie jedes Access Gateway in der ersten DMZ so konfigurieren dass Verbindungen zum Webinterface in der zweiten DMZ weitergeleitet werden Die Weiterleitung an das Webinterface erfolgt auf Benutzergruppenebene F r die Herstellung einer Verbindung zum Webinterface ber das Access Gateway muss der Benutzer mit einer Access Gateway Benutzergruppe z B der Gruppe Default verkn pft sein bei der die Weiterleitung an das Webinterface aktiviert ist Wichtig Single Sign On am Webinterface wird ebenfalls au
388. rungen zur Zertifikattechnologie finden Sie unter Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 291 Konfigurieren Sie die Netzwerke zu denen Benutzer eine Verbindung ber das Access Gateway herstellen k nnen Weitere Informationen zur Konfi guration des Netzwerkzugriffs f r Benutzer finden Sie unter Konfigurie ren von Netzwerkzugriff und Gruppenressourcen auf Seite 113 Weitere Informationen zur Installation des Access Gateways finden Sie im Hand buch Jnstallationstibersicht f r Citrix Access Gateway Standard Edition und in der Citrix Access Gateway Standard Edition Pre Installation Checklist Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 201 Migrieren von Secure Gateway auf das Access Gateway Es gibt zwei Optionen f r die Migration von Secure Gateway zum Access Gateway In Place Migration Hierbei werden das Zertifikat und der vollqualifizierte Dom nenname vom Secure Gateway auf das Access Gateway bertragen Parallel Migration Hier werden ein neues Zertifikat und ein vollqualifi zierter Dom nenname f r das Access Gateway abgerufen Jede Option ist zul ssig bei der In Place Migration kann es jedoch im Gegensatz zu einer neuen Installation zu einer vor bergehenden Unterbrechung des Zugriffs auf Unternehmensressourcen kommen Nach Abschluss der Migration k nnen sich Benutzer ohne jede weitere Konfigu ration an ihrem Ger t mit ihren blichen Benutzeranmeld
389. rver 2003 Win32 Outlook ActiveX Active Directory MSN Messenger und DirectShow sind entweder eingetragene Marken oder Marken von Microsoft Corporation in den USA und oder anderen L ndern Firefox ist eine Marke der Mozilla Foundation BlackICE PC Protection ist eine Marke der Network Ice Corporation ICQ ist eine Marke oder Dienstleistungsmarke von ICQ UNIX ist eine eingetragene Marke von The Open Group Softerra ist eine Marke von Softerra LLC Lizenzierung Globetrotter Macrovision und FLEXIm sind Marken und oder eingetragene Marken der Macrovision Corporation Alle anderen Marken und eingetragenen Marken sind das Eigentum ihrer jeweiligen Inhaber Dokumentcode 27 November 2006 14 35 KM INHALT Inhalt Kapitel 1 Einf hrung Hinweise zur Benutzung dieses Handbuchs 00 0c cee eee eee 13 Typografische Konventionen 0 cece cece eee eee eee neces 14 Service und technischer Support 00 e cece cece eee 15 Subscription Advantage ussen ennaa runner errereen 15 Knowledge Center Watches 0 cc ccc cect teen ences 16 Schulung und Zertifizierung 0 teenies 16 Liter turhimweiser 2u 0 Sn ee tA 4 twat 16 Kapitel 2 Einf hrung in das Citrix Access Gateway Access Gateway Technologien 0 c ccc eee cnt eens 18 Access Gateway Betriebsmodl o on nunn c ccc cette e nnn 18 Funktionen des Access GatewayS 006 cece cece een nenn 19 Neue Funktion
390. rver den vollqualifizierten Dom nennamen des Servers ein 5 W hlen Sie unter Synchronization interval einen Zeitplan f r die Systemzeitaktualisierungen aus 6 Klicken Sie auf Submit der Standardportalseite Die Standardportalseite ist eine HTML Seite auf der der Benutzer die Art der Verbindung ausw hlen kann die von einem Remotecomputer aus hergestellt werden soll Die Benutzer k nnen die Verbindung entweder von der Webportal seite aus herstellen oder den Secure Access Client verwenden der auf ihren Computern installiert ist Dar ber hinaus k nnen sie sich im Kioskmodus anmel den sofern dieser Modus aktiviert ist Weitere Informationen zu den Anmeldeseiten und den verschiedenen M glich keiten zum Aufbauen einer Verbindung durch die Clients finden Sie unter Kon figurieren der Anmelde und Portalseiten f r den Secure Access Client auf Seite 183 Hinweis Sie k nnen die mit dem Access Gateway bereitgestellten Portal seitenvorlagen individuell anpassen und sie auf Gruppenbasis zuweisen Infor mationen hierzu finden Sie unter Access Gateway Portalseitenvorlagen auf Seite 185 Au erdem k nnen Sie einen Link zu den auf einer Website befind lichen Access Gateway Clients hinzuf gen Weitere Informationen finden Sie unter Einf gen von Links zu Clients auf Ihrer Website auf Seite 189 72 Citrix Access Gateway Standard Edition Administratorhandbuch Von der Webportalseite aus startet der Benutze
391. s Client 3 Klicken Sie auf Submit Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 151 Aktualisieren fruherer Versionen des Secure Access Clients Es gibt eine globale Einstellung mit der die Aufforderung zur Aktualisierung einer fr heren Version des Secure Access Clients gesteuert wird Diese Einstel lung ist f r k nftige Versionen des Secure Access Clients reserviert Wenn Sie diese Einstellung aktivieren und ein Benutzer ber eine fr here Version des Secure Access Clients eine Verbindung zum Access Gateway herstellt wird der Benutzer aufgefordert den Client zu aktualisieren Bei Secure Access Client Versionen vor 4 5 ist diese Einstellung wirkungslos Bei diesen Versionen wird der Benutzer durch eine integrierte Funktion zur Aktualisierung aufgefordert wenn er versucht eine Verbindung zu einer h heren Version des Access Gateways herzustellen Ist diese Einstellung aktiviert wird der Benutzer zur Aktualisierung aufgefordert wenn die beiden folgenden Bedingungen erf llt sind Der zu Access Gateway Version 4 5 geh rige Secure Access Client wird in der Zukunft durch eine aktualisierte Version ersetzt Ein Benutzer stellt ber Secure Access Client Version 4 5 eine Verbindung zum Access Gateway her So lassen Sie eine Aufforderung zur Aktualisierung fr herer Versionen des Secure Access Clients anzeigen 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 W hl
392. s Gateway nicht die CIDR Notation der Adresse P Adresse 0 Wenn Sie z B eine Ressourcengruppe hinzuf gen m chten die den Zugriff auf alle Ressourcen erlaubt geben Sie die Adresse in der Form 0 0 0 0 0 0 0 0 statt in der Form 0 0 0 0 0 an Kioskverbindungen F r Kioskverbindungen muss das Access Gateway ein Zertifikat besitzen das von einer f r Sun Microsystems vertrauensw rdigen Zertifizierungsstelle signiert wurde F r Clientverbindungen im Kioskmodus muss JRE Java Runtime Environment 1 5 auf den Computern installiert sein Anhang D Problembehandlung beim Access Gateway 335 Internes Failover Wenn das interne Failover aktiviert ist und der Administrator eine Verbindung zum Access Gateway hergestellt hat ist das Administration Tool tiber diese Verbindung nicht erreichbar Aktivieren Sie zum Beseitigen dieses Problems das IP Pooling und stellen Sie dann eine Verbindung zur niedrigsten IP Adresse im IP Pool auf Port 9001 her Wenn der IP Pool z B bei 10 10 3 50 beginnt stellen Sie die Verbindung zum Administration Tool unter Verwendung von 10 10 3 50 9001 her Informationen zum Konfigurieren von IP Pools finden Sie unter Aktivieren von IP Pooling auf Seite 168 Zertifikatsignierung Zahlreiche Citrix Serverkomponenten unterst tzen SSL TLS z B Access Gateway Secure Gateway und SSL Relay Alle diese Komponenten unterst tzen Serverzertifikate die von einer ffentlichen oder einer privaten Zertifizier
393. s Zertifikat auf die Standardversion zur ck l Verbinden Sie das serielle Kabel mit der neunpoligen seriellen Schnittstelle am Access Gateway und schlie en Sie das andere Ende an einen Computer an auf dem ein Terminalemulator installiert ist 2 Starten Sie den Terminalemulator auf dem Computer z B HyperTerminal Hinweis Bei Windows 2000 Server und Windows Server 2003 wird HyperTerminal nicht automatisch installiert Installieren Sie HyperTerminal ber Software in der Systemsteuerung installieren 3 Legen Sie f r die serielle Verbindung 9600 Bit s 8 Datenbits keine Parit t und 1 Stoppbit fest Optional kann die Hardware Flusssteuerung aktiviert werden 4 Schalten Sie das Access Gateway ein Nach etwa drei Minuten wird auf dem Computerterminal die serielle Konsole angezeigt 5 Wenn Sie HyperTerminal verwenden dr cken Sie nun die Eingabetaste 6 Um das Zertifikat auf das Standardzertifikat zur ckzusetzen geben Sie 5 ein und dr cken Sie die Eingabetaste 60 Citrix Access Gateway Standard Edition Administratorhandbuch Installieren eines Zertifikats und eines privaten Schlussels von einem Windows Computer aus Wenn Sie einen Load Balancer einsetzen oder ein signiertes digitales Zertifikat mit einem privaten Schl ssel besitzen das auf einem Windows Computer gespei chert ist k nnen Sie dieses Zertifikat auf das Access Gateway hochladen Befin det sich das Access Gateway nicht hinter einem Load Balancer
394. schlossen sein muss bevor der Authentifizierungsversuch abgebrochen wird 7 Klicken Sie auf Submit 110 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Zweimethodenauthentifizierung Das Access Gateway unterst tzt Zweimethodenauthentifizierung bei der sich Benutzer mit zwei Authentifizierungstypen anmelden miissen Sie haben auf der Registerkarte Authentication die M glichkeit fiir einen Bereich zwei Authenti fizierungsmethoden zu konfigurieren z B LDAP und Safe Word Der Bereich Default kann fiir die Zweimethodenauthentifizierung konfiguriert werden Es k nnen Bereiche mit einer Authentifizierungsmethode und Bereiche mit Zweimethodenauthentifizierung nebeneinander bestehen So k nnen Sie z B einen oder mehrere Bereich e f r ein einzelnes Authentifizierungsverfahren und zus tzlich einen oder mehrere Bereich e einrichten die f r Zweimethoden authentifizierung konfiguriert sind In einer gemischten Authentifizierungs umgebung sehen Benutzer bei der Anmeldung zwei Kennwortfelder Wenn sich Benutzer mit nur einem Authentifizierungstyp anmelden bleibt das zweite Kenn wortfeld leer Weitere Informationen zum Anmelden ber die Webportalseite finden Sie unter Anmelden mit Zweimethodenauthentifizierung auf Seite 191 So erstellen und konfigurieren Sie einen Bereich mit Zweimethodenauthentifizierung 1 Klicken Sie auf die Registerkarte Authentication 2 Geben Sie unter Add an Au
395. sdconf rec die folgenden Einstellungen aus e Erstellen Sie einen Agenthost Geben Sie einen beschreibenden Namen f r das Access Gateway ein das als der Agenthost fungiert f r den Sie die Konfigurationsdatei erstellen Verwenden Sie als Netzwerkadresse die interne IP Adresse des Access Gateways Der Agenttyp ist UNIX Agent Stellen Sie sicher dass bei der Erstellung des Agenthosts die Option Node Secret Created auf dem RSA ACE Server deaktiviert ist Der RSA ACE Server sendet das Node Secret zu dem Zeitpunkt an das Access Gateway zu dem er das erste Mal eine vom Access Gateway stammende Anforde rung authentifiziert Danach ist die Option Node Secret Created aktiviert Durch Deaktivieren der Option und Generieren und Hochladen einer neuen Konfigurationsdatei k nnen Sie den RSA ACE Server dazu zwingen ein neues Node Secret an das Access Gateway zu senden Es gibt zwei M glichkeiten festzulegen welche Benutzer sich ber das Access Gateway authentifizieren k nnen Konfigurieren Sie das Access Gateway als offenen Agenthost der f r alle lokal bekannten Benutzer offen ist e Legen Sie die zu authentifizierenden Benutzer fest indem Sie den Agenthost bearbeiten und die zu aktivierenden Benutzer ausw hlen Nachdem Sie die Einstellungen auf dem RSA Server vorgenommen haben erstellen Sie die Datei sdconf rec Die von Ihnen erstellte Datei sdconf rec wird auf das Access Gateway hochgeladen 102 Citrix Acc
396. se f r das Herstellen einer Verbindung zur Java Appletversion des Kiosks lautet https AccessGateway vpn_portal javaonly html Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 147 F r die Anmeldung erforderlicher Name des Authentifizierungsbereichs sofern Sie nicht den Bereich Default verwenden Pfad zu allen Netzlaufwerken auf die die Benutzer zugreifen k nnen sollen erfolgt durch Zuordnen eines Netzlaufwerks auf deren Computer S mtliche Systemvoraussetzungen f r das Ausf hren des Secure Access Clients sofern Endpunktressourcen und richtlinien konfiguriert wurden Abh ngig von der Konfiguration des Systems des Remotebenutzers m ssen Sie dar ber hinaus u U noch weitere Informationen bereitstellen Um den Secure Access Client starten zu k nnen m ssen Windows 2000 Benutzer als lokaler Administrator oder als Mitglied der Administrator gruppe angemeldet sein damit sie berechtigt sind Programme auf dem Computer zu installieren Bei Windows XP gilt diese Einschr nkung nur f r die Erstinstallation Aktualisierungen und Upgrades k nnen auch ohne Administratorrechte installiert werden Wenn auf dem Remotecomputer eine Firewall installiert und aktiviert ist muss der Benutzer u U die Firewalleinstellungen so ndern dass der Verkehr zu oder von den IP Adressen der Ressourcen auf die er zugreifen darf nicht blockiert wird Die Internetverbindungsfirewall von Windows XP und die
397. sen CRLs abgeglichen 336 Citrix Access Gateway Standard Edition Administratorhandbuch Netzwerkmeldungen an nicht vorhandene IP Adressen Wenn die auf das Access Gateway hochgeladene Datei sdconf rec ung ltig ist sendet das Access Gateway u U Meldungen an nicht vorhandene IP Adressen Netzwerk berwachungseinrichtungen k nnten dies als Netzwerkspamming einstufen Dieses Problem k nnen Sie beseitigen indem Sie eine g ltige sdconf rec Datei auf das Access Gateway hochladen Das Access Gateway startet nicht und die serielle Konsole ist leer berpr fen Sie die folgenden Elemente auf ihre korrekte Einrichtung Die serielle Konsole verwendet den richtigen Port und der physische Port stimmt mit dem logischen Port berein Das Kabel ist ein Nullmodemkabel Die COM Einstellungen der seriellen Kommunikationssoftware sind wie folgt festgelegt 9600 Bit s 8 Datenbits keine Parit t und 1 Stoppbit Zugriff auf das Administration Tool nicht m glich Wenn das Access Gateway offline ist ist das Administration Tool nicht verf g bar Zum Ausf hren von Aufgaben wie dem Anzeigen des Systemprotokolls und dem Neustarten des Access Gateways k nnen Sie das Administration Portal verwenden Kommunikation zwischen Ger ten und dem Access Gateway nicht m glich berpr fen Sie die folgenden Elemente auf ihre korrekte Einrichtung Der auf der Registerkarte General Networking im Access Gateway Administration Tool ange
398. ses Administration Tool zum Erstellen eines Access Gateway Clusters mit allen Ger ten die in der Double Hop DMZ installiert sind ber dieses Administration Tool k nnen Sie dann administrative 234 Citrix Access Gateway Standard Edition Administratorhandbuch nderungen an s mtlichen Access Gateway Ger ten in der Double Hop DMZ vornehmen Hinweis Uber die Registerkarte Access Gateway Cluster k nnen Sie dem Cluster weitere Ger te hinzuf gen Weitere Informationen hierzu finden Sie unter Erstellen eines Clusters mit Access Gateway Ger ten auf Seite 273 ffnen von Ports und Verwalten von Zertifikaten In einer Double Hop DMZ werden unterschiedliche Verbindungen zwischen den verschiedenen Komponenten hergestellt Vor dem Bereitstellen von Access Gateway Ger ten in einer Double Hop DMZ sollten Sie verstehen welche Verbindungen zwischen den einzelnen Kompo nenten in einer Double Hop DMZ hergestellt werden welche Ports von diesen Verbindungen verwendet werden und welche Zertifikate zur Verschl sselung dieser Verbindungen notwendig sind Die Aspekte die mit dem ffnen von Ports und Installieren von Zertifikaten verkn pft sind werden weiter unten in den Anweisungen zum Bereitstellen von Access Gateway Ger ten in einer Double Hop DMZ erl utert Wenn Sie sich vor der Bereitstellung mit firewall und zertifikatspezifischen Aspekten vertraut machen m chten finden Sie n here Informationen an folgenden Stellen
399. ses Beispiels wird angenommen dass der Admini strator alle anderen Kontrollk stchen auf der Registerkarte Global Cluster Policies deaktiviert Weitere Informationen ber Split Tunneling finden Sie unter Aktivieren von Split Tunneling und zug nglichen Netzwerken auf Seite 116 Weitere Informationen ber die Einstellung Deny Access without access control list finden Sie unter Zugriffssteuerungslisten auf Seite 92 Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 317 Erstellen eines LDAP Authentifizierungs und Autorisierungsbereichs Das Erstellen eines LDAP Authentifizierungs und Autorisierungsbereichs ist der zweite von f nf Arbeitsschritten die der Administrator zum Konfigurieren des Zugriffs auf die internen Netzwerkressourcen ausf hrt In diesem Szenario sind alle Benutzer aus den Abteilungen Vertrieb und Technik in einem unternehmensinternen LDAP Verzeichnis aufgef hrt Zum Authentifizieren der in einem LDAP Verzeichnis aufgef hrten Benutzer muss der Administrator einen Authentifizierungsbereich erstellen der die LDAP Authentifizierung unterst tzt Um den in LDAP Verzeichnisgruppen aufgef hrten Benutzern Zugriff auf die internen Netzwerkressourcen zu gestatten w hlt der Administrator die LDAP Authentifizierung als Autorisierungstyp f r den Bereich aus Da sich Benutzer ber das LDAP Verzeichnis authentifizieren richtet der Administrator den Authentifizierungsbereich Default als Standard
400. sichere LDAP Verbindungen zul ssig wobei die Verbindungen alle ber densel ben Serverport laufen In diesem Fall muss der Client zum Herstellen einer siche ren Verbindung zun chst eine unverschl sselte LDAP Verbindung einrichten Anschlie end wird ber diese Verbindung der LDAP Befehl StartTLS an den Server gesendet Wenn der LDAP Server StartTLS unterst tzt wird die Verbin dung in eine sichere LDAP Verbindung mit TLS umgewandelt F r LDAP Verbindungen werden die folgenden Portnummern verwendet 389 f r unsichere LDAP Verbindungen 636 f r sichere LDAP Verbindungen 3268 f r unsichere LDAP Verbindungen unter Microsoft 3269 f r sichere LDAP Verbindungen unter Microsoft Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 87 LDAP Verbindungen die den Befehl StartTLS verwenden nutzen die Portnum mer 389 Wenn die Portnummern 389 oder 3268 auf dem Access Gateway konfi guriert sind wird versucht die Verbindung mit StartTLS herzustellen Bei Verwendung einer anderen Portnummer erfolgen die Verbindungsversuche mittels SSL TLS K nnen StartTLS oder SSL TLS nicht verwendet werden kann die Verbindung nicht hergestellt werden Hinweis Wenn das Access Gateway von Version 4 0 oder 4 1 aktualisiert wird und bereits ein LDAP Bereich konfiguriert ist sind die LDAP Verbindungen standardm ig nicht gesichert Wenn das Access Gateway jedoch neu installiert wurde oder wenn Sie einen neuen LDAP Bereich erstellen
401. srichtlinie hinzu 1 Klicken Sie auf der Registerkarte Access Policy Manager im rechten Bereich unter Application Policies auf die Richtlinie die Sie hinzuf gen m chten und ziehen Sie sie dann auf die Benutzergruppe im linken Bereich 2 Klicken Sie zum Zulassen oder Verweigern des Zugriffs mit der rechten Maustaste auf die Anwendungsrichtlinie und klicken Sie dann auf Allow oder Deny Wenn eine Anwendungsrichtlinie erstellt und dann einer Benutzergruppe hinzu gefiigt wird kann die Anwendung nur den festgelegten Netzwerkpfad und die angegebene Endpunktrichtlinie verwenden Andere Anwendungen werden dadurch aber nicht an der Verwendung dieser Ressourcen gehindert Wenn Anwendungen an der Verwendung dieser Netzwerkressourcen gehindert werden sollen k nnen Sie den Zugriff auf das Netzwerk verweigern So verweigern Sie den Netzwerkzugriff f r Anwendungen ohne Richtlinien 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf eine Benutzergruppe und klicken Sie dann auf Properties 2 Aktivieren Sie auf der Registerkarte General unter Application options die Option Deny applications without policies Es ist m glich einer Anwendung den Zugriff auf das Netzwerk zu verweigern w hrend alle anderen Anwendungen auf das Netzwerk zugreifen k nnen So verweigern Sie einer Anwendung den Zugriff auf das Netzwerk 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf e
402. ss Client Balancer verbundenes Access Gateway Clientger t Web oder Anwendungs server Mehrere Access Gateway Ger te hinter einem Load Balancer Weitere Informationen zur Bereitstellung mehrerer Access Gateway Ger te hinter einem Load Balancer finden Sie unter Installieren zus tzlicher Access Gateway Ger te auf Seite 271 Kapitel 3 Planen der Bereitstellung 37 Bereitstellen von Access Gateway Advanced Edition Citrix Access Gateway Advanced Edition besteht aus dem Access Gateway Gerat und der Software Advanced Access Control Wenn Sie Access Gateway Advanced Edition erworben haben miissen Sie das Access Gateway so konfigurieren dass es mit der Advanced Access Control Software kommunizieren kann Legen Sie mit dem Administration Tool fest dass die Verwaltung der Einstellungen ftir das oder die Gatewaycluster durch Advanced Access Control erfolgen soll Nach der Konfiguration von Advanced Access Control k nnen Sie mit dem Administration Tool nur noch ger te spezifische Einstellungen verwalten Achtung Wenn Sie festlegen dass Advanced Access Control das Access Gateway verwalten soll werden die entsprechenden Einstellungen im Admini stration Tool deaktiviert Wurden diese Einstellungen mit dem Administration Tool konfiguriert bevor Sie Advanced Access Control ausgew hlt haben m ssen Sie diese Einstellungen mit der Access Management Console erneut konfigurieren Weitere Informationen zum Konfigurieren
403. stallationsprogramm zu starten Wenn die Installation abgeschlossen ist zeigt die serielle Konsole eine entsprechende Meldung an Nehmen Sie die Wiederherstellungs CD ROM wieder heraus und schalten Sie das Access Gateway aus Schalten Sie das Access Gateway ein Stellen Sie die Konfigurationseinstellungen wieder her Informationen hierzu finden Sie unter Speichern und Wiederherstellen der Access Gateway Konfiguration auf Seite 264 264 Citrix Access Gateway Standard Edition Administratorhandbuch Speichern und Wiederherstellen der Access Gateway Konfiguration Wenn Sie das Access Gateway aktualisieren werden alle Ihre Konfigurations einstellungen einschlieBlich der hochgeladenen Zertifikate Lizenzen und Portal seiten automatisch wiederhergestellt Wenn Sie die Access Gateway Software jedoch neu installieren m ssen Sie Ihre Konfigurationseinstellungen manuell speichern und dann wiederherstellen Hinweis Zum Speichern und Wiederherstellen der Konfigurationseinstellun gen steht Ihnen auch die Registerkarte Maintenance des Administration Portals zur Verf gung So speichern Sie die Access Gateway Konfiguration 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich Upgrade and configuration management neben Save the current configuration auf Save Configuration 3 Speichern Sie die Datei config resto
404. stellungen zu speichern Die Grundeinstellungen werden auf dem Remoteserver der die Sitzung hostet gespeichert Klicken Sie auf OK 7 Wenn Sie einer oder mehreren Gruppen eine Kioskressource hinzuf gen m chten klicken Sie auf die Ressource und ziehen Sie sie auf die Gruppe n f r die die Richtlinie gilt Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 161 Konfigurieren von Clientanwendungen fur den Kioskmodus Benutzern die im Kioskmodus angemeldet sind k nnen Sie die Verwendung verschiedener Anwendungen erlauben u a Firefox Webbrowser Remotedesktopclient SSH Client Telnet 3270 Emulator Client VNC Client Instant Messaging Diese Clientanwendungen k nnen Sie auf der Registerkarte Access Policy Manager im Administration Tool konfigurieren So aktivieren Sie Clientanwendungen 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich unter Kiosk Resources auf eine Ressource und klicken Sie dann auf Properties Soll Firefox aktiviert werden geben Sie die Webadresse des Browsers ein Wenn Remotedesktop aktiviert werden soll geben Sie die IP Adresse des Remotecomputers ein 3 Wahlen Sie unter Kiosk resources die Anwendungen aus die die Benutzer verwenden k nnen sollen Klicken Sie auf OK 4 Ziehen Sie die Ressource auf die Gruppe n zu der denen sie geh rt 162 Citrix Access Gateway Standard Edi
405. stung zu bew ltigen Hohe Verf gbarkeit Als Vorsichtsma nahme f r einen eventuellen Ausfall eines Access Gateways k nnen Sie ein zus tzliches Access Gateway installieren und so daf r sorgen dass das interne Netzwerk weiterhin f r die Remotebenutzer verf gbar bleibt Hinweis Soll lediglich eine hohe Verf gbarkeit erzielt werden k nnen Sie ein Access Gateway als prim res Access Gateway konfigurieren und ein oder mehrere weitere Access Gateway Ger te als Failover Ger te deklarieren Bei einem Ausfall des prim ren Access Gateways werden die Clientverbindungen an das Failover Access Gateway weitergeleitet Weitere Informationen zu dieser Konfiguration finden Sie unter Installieren zus tzlicher Access Gateway Ger te auf Seite 271 36 Access Gateway Standard Edition Administratorhandbuch Bereitstellen von Access Gateway Geraten hinter einem Load Balancer Um sowohl Skalierbarkeit als auch hohe Verf gbarkeit zu unterst tzen k nnen Sie einen Load Balancer und dann mehrere Access Gateway Ger te hinter diesem Load Balancer installieren Durch die Bereitstellung mehrerer Ger te hinter einem Load Balancer k nnen Sie eine gro e Anzahl Remotebenutzer unterst tzen und dabei die hohe Verf gbar keit des internen Netzwerks f r die Benutzer sicherstellen Sicheres Netzwerk E Mail Server a j Ne Ex Access Gateway Lu Ss to u RE ber den Secure Internet u Server Load ES Acce
406. styp bei der Anmeldung verwenden m ssen finden Sie unter Anmelden mit Zweimethodenauthentifizierung auf Seite 191 e Informationen dar ber ob eine Vorauthentifizierungsrichtlinie konfiguriert ist finden Sie unter Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind auf Seite 192 Access Gateway Portalseitenvorlagen Wenn ein Benutzer den Secure Access Client ber einen Webbrowser startet wird Benutzern die Anmeldeseite Citrix Access Gateway angezeigt Nachdem sich Benutzer angemeldet haben werden Sie an eine Portalseite weitergeleitet auf der sie die Wahl haben sich mit dem Secure Access Client oder im Kioskmodus anzumelden Citrix stellt Portalseitenvorlagen zur Verf gung die individuell angepasst werden k nnen Eine einfache Form der Anpassung der Standardportalseite ist das Erset zen des Logos Der Text f r Eigener Computer und ffentlicher Computer verwendet eine Variable ber die der Text in die Vorlage eingef gt werden kann Der Text in diesen beiden Abschnitten kann nicht ge ndert werden 186 Citrix Access Gateway Standard Edition Administratorhandbuch Eine dieser Vorlagen enth lt Links zum Secure Access Client und zum Kioskmo dus Die anderen beiden Vorlagen enthalten Links zu jeweils nur einer Anmelde methode Ausschlaggebend fiir die Wahl einer Vorlage sind die Zugriffsrechte die Sie der jeweiligen Gruppe gew hren m chten So kann es z B vorkommen dass Sie einigen Benut
407. t was zu Engp ssen bei der Daten bertragung f hren kann F r die Installation des Access Gateways und die Konfiguration der TCP IP Einstellungen k nnen Sie Netzwerkkabel verwenden z B RJ45 Netzwerkkabel oder Kreuzkabel Die RJ45 Kabel werden zum Verbinden von Netzwerkswitch und Access Gateway verwendet Mit den Kreuzkabeln werden Windows Computer und Access Gateway verbunden So konfigurieren Sie die TCP IP Einstellungen mit Netzwerkkabeln 1 Schalten Sie das Access Gateway ein Nach etwa drei Minuten ist das Access Gateway f r die Erstkonfiguration in Ihrem Netzwerk bereit 2 ffnen Sie einen Webbrowser und geben Sie https 10 20 30 40 9001 ein um das Administration Portal zu ffnen Verwenden Sie den Standard benutzernamen root und das zugeh rige Kennwort rootadmin 3 Klicken Sie auf der Registerkarte Downloads unter Access Gateway Administration Tool auf Install the Access Gateway Administration Tool Folgen Sie den Anweisungen um die Installation abzuschlie en 4 Melden Sie am Administration Tool mit dem Standardbenutzernamen und dazugeh rigem Kennwort an 5 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 6 Geben Sie auf der Registerkarte General Networking unter Interface 0 und Interface 1 in den Feldern IP address die neuen IP Adressen des Ger ts ein Citrix empfiehlt die Option Use both interfaces Beide Schnittstellen verwenden zu aktivieren 46
408. t das Access Gateway den Benutzer anhand der lokal auf dem Access Gateway gespeicherten Benutzer informationen sofern auf der Registerkarte Settings des Bereichs die Option Use the local user database on the Access Gateway aktiviert ist Das Access Gateway unterst tzt den Next Token Modus Wenn ein Benutzer drei falsche Kennw rter eingibt fordert der Secure Access Client den Benutzer auf mit der n chsten Anmeldung so lange zu warten bis der n chste Tokencode aktiv ist Der RSA Server kann so konfiguriert werden dass das Konto eines Benut zers der sich zu oft mit einem falschen Kennwort anmeldet deaktiviert wird Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 101 F r die Kontaktaufnahme mit dem RSA ACE Server muss das Access Gateway eine Kopie der ACE A gent Host Konfigurationsdatei sdconf rec enthalten die vom RSA ACE Server angelegt wird Im Folgenden wird beschrieben wie diese Datei anzulegen und hochzuladen ist Hinweis In den folgenden Schritten werden die unbedingt erforderlichen Einstellungen f r das Access Gateway beschrieben Dar ber hinaus k nnen sitespezifische Zusatzeinstellungen vorgenommen werden Weiterf hrende Informationen finden Sie in der RSA ACE Server Produktdokumentation Wenn die Konfiguration des Access Gateways wiederhergestellt werden muss finden Sie entsprechende Informationen unter Zur cksetzen des Node Secret auf Seite 103 W hlen Sie beim Erstellen der Datei
409. t f hrt eine DNS Suche nach dem ersten Failoverger t durch und versucht eine Verbindung mit diesem Ger t herzustellen Wenn das erste Failover Access Gateway Ger t nicht verf gbar ist versucht es der Client mit dem n chsten Failoverger t Gelingt es dem Client eine Verbindung zu einem Failover Access Gateway herzustellen wird er aufgefordert sich anzumelden Sie k nnen bis zu drei Access Gateway Ger te in die Failoverliste eintragen Kapitel 13 Installieren zusatzlicher Access Gateway Gerate 281 So konfigurieren Sie Failover l Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Failover Servers 2 Geben Sie in den Feldern First failover appliance Second failover appliance und oder Third failover appliance die externen IP Adressen oder die vollqualifizierten Dom nennamen der Access Gateways ein die fiir Failover verwendet werden sollen Die Access Gateway Ger te werden in der Reihenfolge f r das Failover herangezogen in der sie in der Liste aufgef hrt sind 3 Geben Sie im Feld Port die Portnummer ein Der Standardwert ist 443 Klicken Sie auf Submit Hinweis Wenn Sie mehrere Access Gateway Ger te hinter einem Load Balancer bereitstellen m ssen dasselbe SSL Serverzertifikat und derselbe private Schl ssel auf jedem einzelnen Access Gateway installiert werden Sollen mehrere Access Gateway Ger te f r Failover eingesetzt werden k nnen Sie auf diesen Ger ten n
410. t seine Authentifizierungsinformationen auf der Webinter face Anmeldeseite ein die dann vom Access Gateway an das Webinterface zur ckgeleitet werden Das Webinterface sendet die Anmeldeinformationen des Benutzers an den Citrix XML Dienst der in der Serverfarm im internen Netzwerk ausgef hrt wird Der Citrix XML Dienst authentifiziert den Benutzer Der XML Dienst erstellt eine Liste der ver ffentlichten Anwendungen auf die der Benutzer zugreifen darf und leitet diese Liste an das Webinterface weiter Erstellung von Sitzungstickets Die Erstellung von Sitzungstickets ist die zweite Phase beim Herstellen einer Clientverbindung in einer Double Hop DMZ Bereitstellung 6 Das Webinterface leitet f r jede ver ffentlichte Anwendung auf die der Benutzer zugreifen darf eine Anforderung f r ein Sitzungsticket an die Secure Ticket Authority Diese Anforderungen enthalten die IP Adresse des Servers der als Host f r die ver ffentlichte Anwendung fungiert Die Secure Ticket Authority speichert die IP Adressen der Server die als Host f r die ver ffentlichten Anwendungen fungieren Dann leitet die Secure Ticket Authority die angeforderten Sitzungstickets an das Webinterface weiter Jedes Sitzungsticket enth lt nicht die tats chliche IP Adresse sondern ein Alias das die IP Adresse des Servers darstellt der als Host f r die ver ffentlichte Anwendung fungiert Das Webinterface erstellt eine ICA Datei f r jede ver ffentlichte An
411. talliert wird auf dem eine ltere Version der Secure Ticket Authority vorhanden ist wird die alte Secure Ticket Authority durch die neue Version ersetzt Wenn Sie die Kommunikation zwischen dem Access Gateway und der Secure Ticket Authority sichern muss auf der Secure Ticket Authority ein Server zertifikat installiert sein Wenn Sie im Administration Tool auf der Registerkarte Global Cluster Policies das Kontrollk stchen Validate secure certificates for internal connections aktiviert haben muss zur berpr fung ob das Zertifikat der Secure Ticket Authority g ltig ist das entsprechende Stammzertifikat auf dem Access Gateway installiert sein So konfigurieren Sie das Access Gateway so dass die Secure Ticket Authority verwendet wird l Klicken Sie im Administration Tool auf die Registerkarte Authentication und anschlie end auf die Registerkarte Secure Ticket Authority 2 Geben Sie unter Server running the STA die IP Adresse oder den vollqualifizierten Dom nennamen des Servers ein auf dem die Secure Ticket Authority installiert ist 3 Geben Sie unter STA path den Pfad zur Secure Ticket Authority ein Der Standardpfad lautet Scripts CtxSTA dll 4 Legen Sie unter Connection type fest ob die Verbindung sicher Secure oder unsicher Unsecure ist Klicken Sie auf Add Wenn die Secure Ticket Authority konfiguriert ist werden der Server der Pfad die ID und der Verbindungstyp unter Secure Ticket Authority Details angezeigt
412. tandardimplementierung von Secure Gateway und eine Access Gateway Bereitstellung 198 Citrix Access Gateway Standard Edition Administratorhandbuch Serverfarm Secure Ticket Authority Ge Clientgerat 2i pen a maas gt 7 cc gt u rs x a z n Ver ffentlichte Home office Internet Secure Gateway Webinterface Anwendungen Citrix Remotestandort ee es Secure Gateway Bereitstellung mit Webinterface in der DMZ und Verbindung zu Computern auf denen Citrix Presentation Server ausgeftihrt wird In dieser Bereitstellung wird Secure Gateway auf einem Windows Server in der DMZ ausgefiihrt Das Webinterface wird auch in der DMZ bereitgestellt Citrix Presentation Server wird im sicheren Netzwerk ausgef hrt Die Secure Ticket Authority wird auf einem Computer installiert auf dem Presentation Server ausgef hrt wird und ver ffentlichte Anwendungen werden auf einem zweiten Server in der Farm installiert Die folgende Abbildung zeigt das Access Gateway in der DMZ und das Webinterface im sicheren Netzwerk Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 199 u Serverfarm Secure Ticket Authority FIREWALL FIREWALL a Webinterface Access Gateway Homeoffice Internet Citrix Lizenzserver Remotestandort Eine Access Gateway Bereitstellung bei der sich das Webinterface im sicheren Netzwerk befindet Die Computer im sicheren Netzwerk fuhren Citrix Prese
413. tation BlackICE PC Protection Damit der Secure Access Client eine Verbindung zum Internet und zu den vom Access Gateway zugelassenen Ressourcen herstellen kann sollten Sie den Schutzgrad auf einen Wert unter Paranoid einstellen da dies die Ausf hrung von Anwendungen verhindern w rde F gen Sie au erdem die IP Adresse des Access Gateways als vertrauensw rdige Zone hinzu Sie m ssen auch die IP Adresse oder den IP Adressbereich der zugelassenen Ressourcen als vertrauens w rdige Zonen hinzuf gen McAfee Personal Firewall Plus Mit den McAfee Personal Firewall Plus Einstellungen kann der Secure Access Client eine Verbindung zum Internet und den vom Access Gateway zugelassenen Ressourcen herstellen Kapitel 12 Warten des Access Gateways 269 Bei den Einstellungen wird davon ausgegangen dass als Sicherheitsstufe die Ein stellung Standardsicherheit ausgew hlt ist Stellen Sie sicher dass die IP Adresse oder der IP Adressbereich der zugelassenen Ressourcen als vertrauens w rdige IP Adressen hinzugef gt wurden Wahlen Sie in der Liste System dienste alle Dienste aus die tiber die VPN Verbindung verwendet werden sollen Hinweis Wenn der Secure Access Client installiert ist werden Sie standardm ig von Personal Firewall Plus aufgefordert den Zugriff f r diese Anwendung zu gew hren oder zu sperren W hlen Sie Zugriff gew hren Norton Personal Firewall Bei Verwendung der Norton Personal Firewall Stan
414. te IP Adresse gerich tet ist wird dieses Paket an die Adresse des Standardgateways bermittelt Wenn der Load Balancer als Standardgateway konfiguriert ist sorgt das Access Gateway mit statischem Routing daf r dass die f r die internen Ziele bestimmten Pakete tats chlich ausgeliefert werden Falls das Access Gateway ein Paket empf ngt das f r eine interne Adresse bestimmt ist ohne dass die statische Routingtabelle eine geeignete Route f r das Paket aufweist geht das Paket unter Umst nden verloren Beispiel Der Load Balancer ist als Standardgateway konfiguriert und es gilt Folgendes Sie verwenden drei interne Netzwerke 10 10 0 0 10 20 0 0 und 10 30 0 0 Das Netzwerk 10 10 0 0 kann Pakete an die Netzwerke 10 20 0 0 und 10 30 0 0 weiterleiten diese Netzwerke k nnen jedoch ihrerseits keine Pakete an andere Netzwerke bermitteln In dieser Umgebung m ssen auf dem Access Gateway statische Routen f r Interface 1 erstellt werden Diese statischen Routen m ssen den gesamten Daten verkehr der f r die Netzwerke 10 20 0 0 und 10 30 0 0 bestimmt ist ber Interface 1 am Access Gateway an das Netzwerk 10 10 0 0 weiterleiten Weitere Informationen hierzu finden Sie unter Konfigurieren von dynamischen und statischen Routen auf Seite 64 280 Citrix Access Gateway Standard Edition Administratorhandbuch Konfigurieren von Access Gateway Failover Um hohe Verf gbarkeit des internen Netzwerks ftir Remotebenutzer
415. te unter http www openssl org docs apps rsa html EXAMPLES Informationen zum Herunterladen von OpenSSL f r Windows finden Sie auf der SourceForge Website unter http sourceforge net project showfiles php group_id 23617 amp release_id 48801 Umwandeln in ein PEM formatiertes Zertifikat Es ist m glich dass das signierte Zertifikat das Sie von der Zertifizierungsstelle erhalten nicht das PEM Format hat Wenn die Datei im Bin rformat DER vor liegt wandeln Sie sie wie folgt in ein PEM Format um openssl x509 in Zertifikatdatei inform DER outform PEM out umgewandelteZertifikatdatei Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 303 Wenn sich das Zertifikat bereits in einem Textformat befindet k nnte es sich um das PKCS Format handeln Zu PKCS formatierten Zertifikaten kommt es wenn Sie angeben dass das Zertifikat in einem Microsoft und nicht in einem Apache Betriebssystem verwendet werden wird Wenn das Zertifikat nicht im PEM Format vorliegt wird bei Eingabe des folgenden Befehls eine Fehlermeldung ausgegeben Zertifikatdatei darf bei der Ausf hrung dieses Befehls nicht den privaten Schl ssel enthalten openssl verify verbose CApath tmp Zertifikatdatei Wenn dieser Befehl zur Ausgabe der folgenden Fehlermeldung f hrt hat die Datei nicht das PEM Format Zertifikatdatei unable to load certificate file 4840 error 0906D064 PEM routines PEM read _bio bad base64 decode pem_lib c 781 So wandeln
416. tebenutzern aus den Bereichen Vertrieb und Technik allerdings nur Zugriff auf einen dieser E Mail Server gew hren m chte Der E Mail Server auf den Remotebenutzer zugreifen m ssen hat die IP Adresse 10 10 25 50 32 Damit die Benutzer nur auf einen E Mail Server zugreifen k nnen erstellt der Administrator eine Anwendungsrichtlinie auf dem Access Gateway nach der die Benutzer nur auf die E Mail Anwendung auf dem E Mail Server 10 10 25 50 32 zugreifen k nnen Hinweis Mit Anwendungsrichtlinien legen Administratoren fest dass eine Clientanwendung auf einen bestimmten internen Server zugreifen oder ein Clientger t bestimmte Anforderungen erf llen muss bevor der Zugriff auf einen internen Server zul ssig ist Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 323 Um eine Anwendungsrichtlinie zu erstellen wonach der Zugriff eines E Mail Clients auf einen Server eingeschr nkt wird muss der Administrator drei Schritte ausf hren Erstellen einer Netzwerkressource die nur den E Mail Server umfasst Erstellen einer Anwendungsrichtlinie mit der die E Mail Anwendung auf dem E Mail Server angegeben wird und Zuweisen der Netzwerkressource mit dem E Mail Server zu dieser Anwendungsrichtlinie Zuweisen der Anwendungsrichtlinie zu den Benutzergruppen im Access Gateway In diesem Beispiel erstellt der Administrator eine Netzwerkressource namens E Mail Server die nur die IP Adresse 10 10 25 50 32 den
417. tellen Das Zertifikat das Sie auf das Access Gateway hochladen muss die folgenden Eigenschaften haben e Das Zertifikat muss im PEM Format vorliegen und einen privaten Schl ssel enthalten Das signierte Zertifikat und der private Schl ssel m ssen unverschl sselt sein Wenn zum Entschl sseln ein Kennwort vorhanden ist kann ein verschl sselter ffentlicher Schl ssel verwendet werden 302 Citrix Access Gateway Standard Edition Administratorhandbuch Entschlusseln des privaten Schlussels F hren Sie die hier genannten Schritte nur aus wenn die Methode die Sie zum Generieren des privaten Schltissels verwenden einen verschliisselten Schliissel zum Ergebnis hat So entschl sseln Sie den privaten Schl ssel 1 Geben Sie an der Eingabeaufforderung den folgenden Befehl ein openssl rsa Wenn Sie diesen Befehl ohne Argumente eingeben erhalten Sie folgende Aufforderung read RSA key 2 Geben Sie den Namen des zu entschl sselnden Kennworts ein Wenn Sie den Namen des privaten Schl ssels und der entschl sselten PEM Datei kennen k nnen Sie auch den Befehl openssl rsa mit den zugeh rigen Argumenten eingeben Wenn der Dateiname des privaten Schl ssels z B mein_schl sseltag_schl ssel pvk und der entschl sselte Dateiname ausgabe_schl ssel pem lautet geben Sie Folgendes ein openssl rsa in mein_schl sseltag_schl ssel pvk out ausgabe_schl ssel pem Weitere Informationen finden Sie auf der Open SSL Websi
418. tellen von Clientverbindungen Die in der Abbildung dargestellten Phasen entsprechen den Schritten die in den Abschnitten Clientauthentifizierung Erstellung von Sitzungstickets und Verbindungsherstellung unten erl utert werden In einem sicheren Netzwerk f hren Computer auf denen Presentation Server ausgef hrt wird auch die Secure Ticket Authority den XML Dienst und ver ffentlichte Anwendungen aus Clientauthentifizierung Die Clientauthentifizierung l uft wie folgt ab 1 Der Benutzer gibt in einem Webbrowser die Adresse des Access Gateways ein z B https www ag wxyco com 2 Die Verbindungsanforderung geht beim Access Gateway in der ersten DMZ ein Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 251 Wenn auf dem Access Gateway Anmeldeseitenauthentifizierung aktiviert ist leitet das Access Gateway die Access Gateway Anmeldeseite an den Benutzer weiter Nachdem der Benutzer seine Authentifizierungsinforma tionen auf der Anmeldeseite eingegeben hat wird er vom Access Gateway authentifiziert Dann leitet das Access Gateway die Anmeldeinformationen des Benutzers an das Webinterface weiter Wenn die Anmeldeseitenauthentifizierung nicht aktiviert ist nimmt das Access Gateway keine Authentifizierung vor Das Access Gateway stellt eine Verbindung zum Webinterface her ruft die Webinterface Anmelde seite auf und leitet die Webinterface Anmeldeseite an den Benutzer weiter Der Benutzer gib
419. ten aus eine Verbindung herstellen z B von Computern und Handheld PDAs w hrend der Secure Access Client nur von einem Windows Computer aus Verbindungen herstellen kann Wenn Citrix Presentation Server Clients die einzigen Clients sind die eine Verbindung zu einer Serverfarm herstellen kann kein Failover f r das Access Gateway verwendet werden Nur der Secure Access Client unterst tzt Failover Citrix empfiehlt zwei M glichkeiten der Verbindungen zum Unternehmens netzwerk Direkte Verbindungen zu ver ffentlichten Anwendungen ber Citrix Presentation Server Clients Direkte Verbindungen zu ver ffentlichten Anwendungen ber Citrix Presentation Server Clients und Verbindungen zu anderen Unternehmens ressourcen ber den Secure Access Client Hinweis Wenn Sie das Access Gateway in einer Double Hop DMZ bereitgestellt haben kann der Secure Access Client nicht verwendet werden Weitere Informationen hierzu finden Sie unter Bereitstellen des Access Gateways in einer Double Hop DMZ auf Seite 223 Kapitel 10 Bereitstellen von Zugriff auf ver ffentlichte Anwendungen 195 Verbindung g Client stellt Verbindung ber Webbrowser her Verbindungen mit Citrix Presentation Server Clients Bei diesem Szenario ffnet der Benutzer einen Webbrowser und gibt den vollqualifizierten Dom nen namen oder die IP Adresse des Access Gateways ein Wenn die Portalseiten authentifizierung aktiviert ist meldet sich der Benut
420. tenzprobleme Das Access Gateway tunnelt den UDP Verkehr ber SSL Verbindungen Wenn es in der VoIP Anwendung zu Latenz kommt k nnen Sie mit der Einstellung Improve latency for Voice Over IP traffic die Latenz minimieren und die Audioqualit t erh hen Bei dieser Einstellung greift das Access Gateway auf schw chere Verschl sse lungssammlungen zur ck 56 Bit Diese schw cheren Verschl sselungs sammlungen werden nicht nur f r den VoIP Verkehr verwendet sondern f r den gesamten Datenverkehr der ber das UDP Protokoll bertragen wird Bevor Sie diese Option aktivieren sollten Sie die Auswirkungen auf die Sicherheit beden ken die diese schw cheren Verschl sselungssammlungen f r die Verschl sse lung des UDP Datenverkehrs mit sich bringen Folgende Verschl sselungssammlungen werden zur Verschl sselung des UDP Datenverkehrs verwendet RSA EXP 1024 RC4 56 Bit MD5 C RSA EXP 1024 RC4 56 Bit SHA Hinweis Wenn Sie die Einstellung Improve latency for Voice Over IP traffic nicht aktivieren wird der UDP Datenverkehr mit der Verschl sselungssammlung f r die symmetrische Verschl sselung verschl sselt die unter der Einstellung Select encryption type for client connections auf der Registerkarte Global Cluster Policies festgelegt ist Die Verschl sselungssammlungen werden zwischen dem Client und dem Access Gateway in der aufgef hrten Reihenfolge ausgehandelt Die erste akzeptierte Methode wird f r die Sitzung verwe
421. teway aufbauen Bearbeiten Sie hierzu die Porteinstellung im Administration Tool Weitere Informationen zu dieser Porteinstellung finden Sie unter Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln auf Seite 45 Kapitel 3 Planen der Bereitstellung 27 Uberlegungen zur Sicherheit Beim Planen jeder Access Gateway Bereitstellung sind gewisse grundlegende Sicherheitsaspekte im Zusammenhang mit Zertifikaten mit der Authentifizierung und mit der Autorisierung zu beachten Konfigurieren der sicheren Zertifikatverwaltung Standardm ig enth lt das Access Gateway ein selbst signiertes SSL Server zertifikat mit dem das Access Gateway in der Lage ist SSL Handshakes zu verarbeiten F r Testbereitstellungen sind selbst signierte Zertifikate durchaus angemessen f r den Einsatz in Produktionsumgebungen reichen diese Zertifikate jedoch nicht aus Citrix r t daher vor der Bereitstellung des Access Gateways in einer Produktions umgebung ein signiertes SSL Serverzertifikat von einer anerkannten Zertifizie rungsstelle einzuholen und auf das Access Gateway hochzuladen Wird das Access Gateway in einer Umgebung bereitgestellt in der es als Client bei SSL Handshakes fungiert also verschl sselte Verbindungen zu einem anderen Server einleitet muss au erdem ein vertrauensw rdiges Stammzertifi kat auf dem Access Gateway installiert werden Weitere Informationen zu Stammzertifikaten finden Sie unter Installieren von Stammzert
422. thentication Realm in das Feld Realm name einen Namen ein 3 W hlen Sie Two Source und klicken Sie dann auf Add 4 Legen Sie im Dialogfeld Select Authentication Type unter Primary authentication type und Secondary authentication type das jeweilige Authentifizierungsverfahren fest Klicken Sie auf OK 5 Konfigurieren Sie auf der Registerkarte Primary Authentication die Einstellungen f r den ersten Authentifizierungstyp und klicken Sie auf Submit 6 Konfigurieren Sie auf der Registerkarte Secondary Authentication die Einstellungen f r den zweiten Authentifizierungstyp und klicken Sie auf Submit 7 Wahlen Sie auf der Registerkarte Authorization unter Authorization type den gew nschten Autorisierungstyp aus konfigurieren Sie die Einstellungen und klicken Sie auf Submit Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 111 Bei der Zweimethodenauthentifizierung wird die primare Authentifizierung zuerst berpr ft Ist diese erfolgreich wird die sekund re Authentifizierung gepr ft Wenn Sie z B auf der Registerkarte Secondary Authentication RSA SecurlD und auf der Registerkarte Primary Authentication LDAP konfiguriert haben m ssen die Benutzer beim Anmelden in das erste Kennwortfeld ihr LDAP Kennwort und in das zweite Kennwortfeld die RSA SecurID PIN und den Passcode eingeben Wenn Benutzer auf Connect klicken nimmt das Access Gateway die Authentifizierung zuerst anhand des LDAP Kennworts und dann anhand von
423. tifizierung deaktiviert ist wird die Access Gateway Anmeldeseite nicht verwendet das Access Gateway nimmt auch keine Authentifizierung vor Sie m ssen keinen Authentifizierungsbereich auf dem Access Gateway konfigurieren Planen der Installation des Access Gateway Administration Tools Vor dem Bereitstellen des Access Gateways in einer Double Hop DMZ sollten Sie entscheiden wo das Access Gateway Administration Tool installiert werden soll Wenn Sie die Installation des Administration Tools im Voraus planen k nnen Sie Verbindungsprobleme w hrend der Bereitstellung vermeiden Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 233 Zum Installieren und Verwenden des Administration Tools auf einem Computer muss dieser Computer zwei Verbindungen zu einem Access Gateway herstellen Standardm ig werden diese Verbindungen auf den folgenden TCP Ports hergestellt Port 9001 An diesem Port stellt ein Webbrowser eine Verbindung zum Administration Portal her Zum Herunterladen und Installieren des Administration Tools m ssen Sie eine Verbindung zum Administration Portal herstellen Port 9002 An diesem Port stellt das Administration Tool eine Verbindung zum Access Gateway her wenn Sie nderungen an den Access Gateway Verwaltungseinstellungen vornehmen Zum Installieren und Verwenden des Administration Tools m ssen Sie diese Ports an einer Firewall ffnen die sich zwischen dem Access Gateway und dem Computer b
424. tion Administratorhandbuch Firefox Webbrowser Mit dem Firefox Webbrowser k nnen Benutzer Verbindungen zum Internet herstellen wenn sie im Kioskmodus angemeldet sind und zwar auf dieselbe Weise als w rden sie an ihrem eigenen Computer sitzen So konfigurieren Sie Firefox 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich unter Kiosk Resources auf eine Ressource und klicken Sie dann auf Properties 3 Aktivieren Sie Enable Firefox und geben Sie in das Textfeld die Adresse des Browsers ein Remotedesktopclient Der Remotedesktopclient erm glicht Benutzern den Remotezugriff auf den Desktop eines Servers auf dem Windows Terminaldienste ausgef hrt werden F r Remotedesktop ist keinerlei Konfiguration auf dem Benutzercomputer erforderlich Wenn Remotedesktop f r den Kioskmodus konfiguriert ist ist dies die einzige Anwendung die vom Client verwendet werden kann Sobald der Client eine Verbindung im Kioskmodus herstellt und die Remotedesktopverbindung startet bernimmt Remotedesktop die Steuerung der Sitzung Ein Umschalten zwischen Kiosk und Remotedesktopsitzung ist nicht m glich Wenn andere Clients wie z B VNC oder SSH konfiguriert sind kann Remotedesktop nicht konfiguriert werden So konfigurieren Sie Remotedesktop l Klicken Sie auf der Registerkarte Access Policy Manager mit der rechten Maustaste auf Kiosk Resources 2 Geben Sie einen
425. tstellung 11 Der Presentation Server Client leitet das Secure Ticket Authority Ticket fiir die ver ffentlichte Anwendung an das Access Gateway in der ersten DMZ weiter Das Access Gateway in der ersten DMZ stellt eine Verbindung zur Secure Ticket Authority im internen Netzwerk um das Ticket zu tiberpriifen Zu diesem Zweck stellt das Access Gateway eine SOCKS Verbindung oder eine SOCKS over SSL Verbindung zum Access Gateway Proxy in der zweiten DMZ her Der Access Gateway Proxy in der zweiten DMZ leitet die Anforderung zur Tickettiberpriifung an die Secure Ticket Authority im internen Netzwerk weiter Die Secure Ticket Authority tiberpriift das Ticket und ordnet es dem Com puter zu auf dem Citrix Presentation Server als Host f r die ver ffentlichte Anwendung ausgef hrt wird Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 253 20 Die Secure Ticket Authority sendet eine Antwort an den Access Gateway Proxy in der zweiten DMZ die an das Access Gateway in der ersten DMZ weitergeleitet wird Diese Antwort schlie t die Ticket berpr fung ab und enth lt die IP Adresse des Computers auf dem Citrix Presentation Server als Host fiir die ver ffentlichte Anwendung ausgef hrt wird Das Access Gateway in der ersten DMZ pr ft die IP Adresse des Citrix Presentation Server Computers anhand der ICA Zugriffssteuerungsliste sofern vorhanden um sicherzustellen dass Benutzer auf den Citrix Presentation
426. tzer versucht ber den VPN Tunnel auf die Netzwerkressourcen zuzugreifen verschl sselt der Secure Access Client den gesamten Netzwerkverkehr der f r das Intranet der Organisation bestimmt ist und leitet die Pakete an das Access Gateway weiter Das Access Gateway fungiert als Endpunkt des SSL Tunnels terminiert den Tunnel akzeptiert den eingehenden Verkehr der f r das private Netzwerk bestimmt ist und leitet den Verkehr an das private Netzwerk weiter Das Access Gateway sendet den Verkehr ber einen sicheren Tunnel zum Remotecomputer zur ck 142 Citrix Access Gateway Standard Edition Administratorhandbuch Wenn ein Remotebenutzer sich tiber den Secure Access Client anmeldet fordert das Access Gateway den Benutzer auf sich tiber HTTP 401 Basic oder Digest zu authentifizieren Das Access Gateway authentifiziert die Anmeldeinformationen mit einem Authentifizierungsverfahren z B mit der lokalen Authentifizierung RSA SecurlD SafeWord LDAP NTLM oder RADIUS Wenn die Anmelde informationen korrekt sind schlie t das Access Gateway den Handshake mit dem Client ab Dieser Anmeldeschritt ist nur dann erforderlich wenn ein Benutzer den Secure Access Client zum ersten Mal herunterl dt Wenn sich der Benutzer hinter einem Proxyserver befindet kann er den Proxy server und die Authentifizierungsinformationen angeben Weitere Informationen hierzu finden Sie unter Konfigurieren von Proxyservern f r den Secure Access Client
427. tzwerk zugewiesen So rufen Sie Lizenzen vom Lizenzserver ab 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway das nicht als Lizenzserver fungiert 2 Klicken Sie auf die Registerkarte Licensing 3 Wahlen Sie Use a different appliance as the license server 4 Geben Sie in das Feld FQDN or IP address den vollqualifizierten Dom nennamen oder die IP Adresse des Lizenzservers ein 5 ndern Sie die Portnummern in den Feldern Manager port und Vendor port oder bernehmen Sie die Standardeinstellungen 27000 und 27001 6 Klicken Sie auf Submit 7 Wiederholen Sie dieses Verfahren f r alle Access Gateway Ger te im Cluster die keine Lizenzserver sind Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 53 Der Manager Port stellt den ersten Kontakt zum Remote Access Gateway her und leitet die Verbindung an den Lizenzserver weiter Anschlie end wird die Kommunikation vom Manager Port an den Vendor Port bergeben Der Vendor Port wird auf dem Lizenzserver ausgef hrt und erteilt die Lizenz ber die Portnummer 27001 Die Portnummern lassen sich an die vorliegende Firewall Konfiguration anpassen Der Manager Port zeichnet die ausgecheckten Lizenzen und die Access Gateway Ger te auf denen diese Lizenzen verwendet werden auf Unter Umst nden m ssen Sie neue Firewall Regeln anlegen damit der Netz werkzugriff auf die Lizenzserverports m glich wird Information
428. tzwerke erhalten die zugewiesen wurden Der Anwendung wird der Zugriff auf das Netzwerk jedoch verweigert Sie k nnen auch den Zugriff aller Anwendungen auf das Netzwerk verweigern dabei aber den Zugriff auf einen bestimmten Netzwerkpfad zulassen um so f r einen eingeschr nkten Zugriff zu sorgen Die Vorgehensweise dazu ist mit der unter So verweigern Sie einer Anwendung den Zugriff auf das Netzwerk auf Seite 130 beschriebenen Vorgehensweise identisch Der einzige Unterschied besteht dabei dass die Option Deny applications without policies nicht zu deak tivieren sondern zu aktivieren ist Bei Aktivierung dieser Option wird der gesamte Anwendungszugriff auf das Unternehmensnetzwerk verweigert Wenn Sie einen Anwendungsnetzwerkzugriff zulassen m chten konfigurieren Sie die Anwendungsrichtlinie so dass die Anwendung akzeptiert wird F hren Sie dazu die in der vorherigen Schrittanweisung genannten Schritte aus Die Benutzer erhalten nur mit der Anwendung die explizit zugelassen wurde Zugriff auf die interne Site Allen anderen Anwendungen auf dem Client computer ist es nicht erlaubt auf das interne Netzwerk zuzugreifen Konfigurieren von Endpunktrichtlinien und ressourcen In diesem Abschnitt wird das Konfigurieren von Endpunktressourcen und das anschlie ende Erstellen einer Endpunktrichtlinie beschrieben Konfigurieren von Endpunktressourcen Endpunktressourcen bieten ein zus tzliches Ma an Sicherheit weil sie helfen s
429. u Literaturhinweise Weitere Informationen zu Access Gateway finden Sie in den folgenden Dokumenten Installations bersicht f r Citrix Access Gateway Standard Edition e Citrix Access Gateway Standard Edition Pre Installation Checklist Citrix Access Gateway Standard Edition Readme Einfuhrung in das Citrix Access Gateway Citrix Access Gateway ist eine universelle SSL VPN L sung die einen sicheren zentralen Zugang zu allen Informationsressourcen in der Organisation gleich ob Daten oder Sprachinformationen erm glicht Die L sung vereint die Vorteile von IPsec und SSL VPN ohne die mit diesen Verfahren verbundene kosteninten sive und aufw ndige Implementierung und Wartung Das Access Gateway ist mit jeder Firewall kompatibel und unterst tzt alle Anwendungen sowie Protokolle Es l sst sich schnell einfach und kosteng nstig einrichten und kann ber einen ber das Web bereitgestellten sich automatisch aktualisierenden Client gewartet werden Die Benutzer kommen in den Genuss eines konsistenten den blichen Gewohnheiten im Firmenb ro entsprechenden Benutzererlebnisses mit Always on Konnektivit t und erhalten einen integrierten Client mit Wurmblockierungs funktion sowie integrierter Endpunktpr fung Das Citrix Access Gateway erm g licht den sicheren Remotezugriff auf die Organisationsressourcen in einem einzigen Produkt und l sst sich schnell und einfach bereitstellen Mit dem Access Gateway erhalten
430. u Bedenken im Hinblick auf den Datenschutz f hren weil jeder Benutzer der ber den Secure Access Client ange meldet ist eine Liste mit allen derzeit angemeldeten Benutzern sehen kann Soll die Liste der Onlinebenutzer f r eine bestimmte Benutzergruppe nicht sicht bar sein k nnen Sie die Funktion zur Desktopfreigabe f r diese Access Gateway Benutzergruppe deaktivieren Beim Deaktivieren der Desktopfreigabe f r eine Benutzergruppe gilt Folgendes Klickt ein Mitglied dieser Benutzergruppe mit der rechten Maustaste auf das Secure Access Client Symbol im Infobereich von Windows wird die Option Desktop freigeben nicht im Men angezeigt Die Benutzer in dieser Gruppe k nnen ber das Secure Access Client Symbol keine Liste der anderen Onlinebenutzer abrufen und auch nicht die Funktion f r die Desktopfreigabe verwenden Die Mitglieder dieser Benutzergruppe werden nicht in der Onlineliste der anderen Benutzer aufgef hrt f r die die Desktopfreigabe aktiviert ist So deaktivieren Sie die Desktopfreigabe 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Application options die Option Disable desktop sharing Klicken Sie auf OK Schlie en und Deaktivieren von Benutzerverbindungen Mit dem Real time Monitor werden die offenen VPN Verbindungen nach B
431. uf Add 4 Wahlen Sie unter Authentication type die Option SafeWord authentication und klicken Sie auf OK 106 Citrix Access Gateway Standard Edition Administratorhandbuch 5 Geben Sie unter Primary SafeWord Server Settings die folgenden Daten ein Geben Sie unter IP address die IP Adresse des SafeWord Servers ein Geben Sie unter Port die Portnummer f r den SafeWord RADIUS Server ein Der Standardwert ist 1812 Dieser Port muss mit der auf dem RADIUS Server konfigurierten Portnummer bereinstimmen Geben Sie unter Server secret einen gemeinsamen geheimen RADIUS Schl ssel ein Der gemeinsame geheime Schl ssel muss mit dem auf dem RADIUS Server konfigurierten Schl ssel bereinstimmen 6 Wenn ein zweiter SafeWord Server vorhanden ist konfigurieren Sie die Einstellungen unter Secondary SafeWord Server Settings Konfigurieren der Autorisierung mit SafeWord Wenn die Authentifizierung mit SafeWord erfolgt k nnen Sie die folgenden Autorisierungsverfahren verwenden LDAP Lokale Benutzerliste RADIUS e Keine Autorisierung Informationen zum Konfigurieren der LDAP Autorisierung finden Sie unter Konfigurieren der LDAP Autorisierung auf Seite 90 Informationen zum Konfigurieren der RADIUS Autorisierung finden Sie unter Konfigurieren von RADIUS Authentifizierung und Autorisierung auf Seite 95 Durch entsprechende Konfiguration des SafeWord Servers kann eingestellt werden dass SafeWord di
432. ugreifen Die Benutzer aus dem Bereich Vertrieb k nnen auch auf andere Netzwerkressourcen zugreifen die sich in den beiden zugelassenen Netzwerken befinden Benutzer der Gruppe Au endiensttechniker d rfen auf den Web konferenzserver und die Dateiserver im Netzwerk 10 10 0 0 24 und auf andere in diesem Netzwerk befindliche Netzwerkressourcen zugreifen Die Benutzer aus dem Bereich Technik k nnen zwar auch auf die E Mail Anwendung auf dem Server mit der IP Adresse 10 10 25 50 jedoch nicht auf die E Mail Anwendung auf anderen E Mail Servern in den zugelasse nen Netzwerken zugreifen N here Informationen dar ber worin der Zweck von lokalen Benutzern auf dem Access Gateway besteht und wie die Authentifizierung und Autorisierung f r lokale Benutzer zu erm glichen ist finden Sie unter Szenario f r das Erstellen von Gastkonten mit der Liste Local Users auf Seite 325 Szenario f r das Erstellen von Gastkonten mit der Liste Local Users Dieses Beispiel veranschaulicht die Funktionsweise von lokalen Benutzern auf dem Access Gateway und erl utert eine Methode mit der ein Administrator die Authentifizierung und Autorisierung f r lokale Benutzer unterst tzen kann In dem zuvor beschriebenen Beispiel wurden Benutzer anhand ihrer Anmelde informationen f r das LDAP Verzeichnis und ihrer Gruppenmitgliedschaft authentifiziert und autorisiert Administratoren k nnen auch eine Liste mit lokalen Benutzern auf dem
433. ult k nnen noch weitere Bereiche erstellt werden Beispiel Der Bereich Default soll f r die Authentifizierung bei einem LDAP Server verwendet werden Wenn Sie f r die Benutzer zus tzliche Authentifizie rungsmethoden verwenden m chten wie z B RADIUS SafeWord RSA SecurlD NTLM oder lokale Authentifizierung am Ger t k nnen Sie f r jede dieser Methoden einen Bereich erstellen Wenn sich ein Benutzer an anderen Bereichen als dem Bereich Default anmeldet muss er den Namen des Bereichs und seinen Benutzernamen eingeben z B Bereichsname Benutzername Hinweis Citrix empfiehlt die Bereiche nach den dazugeh rigen Dom nen zu benennen Dadurch k nnen sich Benutzer entweder mit Bereichsname Benutzername oder mit Benutzername Bereichsname anmelden So erstellen Sie einen Bereich 1 Geben Sie auf der Registerkarte Authentication unter Add an Authenti cation Realm in das Feld Realm name den Namen des Bereichs ein 2 F hren Sie einen der folgenden Schritte aus Wenn die Benutzer nur einen Authentifizierungstyp verwenden klicken Sie auf One Source oder Wenn die Benutzer zwei Authentifizierungstypen verwenden klicken Sie auf Two Source 3 Klicken Sie auf Add 4 W hlen Sie unter Authentication type die Authentifizierungsmethode aus und klicken Sie auf OK Wenn Sie Zweimethodenauthentifizierung konfigurieren w hlen Sie unter Primary authentication type den Typ aus mit dem sich Benutzer zuerst anmelden W
434. um Access Gateway herstellen Dieses Benutzerhandbuch enthalt auch Informationen wie Sie das Access Gateway fiir die Zusammenarbeit mit Citrix Presentation Server und Access Gateway Advanced Edition konfigurieren Weitere Informationen finden Sie unter Bereitstellen von Zugriff auf ver ffentlichte Anwendungen auf Seite 193 und Bereitstellen von Access Gateway Advanced Edition auf Seite 37 Citrix Access Gateway Standard Edition Administratorhandbuch Typografische Konventionen In der Access Gateway Dokumentation werden die folgenden typografischen Konventionen f r Men s Befehle Tasten und Objekte in der Benutzeroberflache des Programms verwendet Konvention Bedeutung Fettdruck Befehle Namen von Benutzeroberfl chenobjekten z B Textfelder und Optionsschaltfl chen sowie Benutzereingaben Kursiv Platzhalter f r Informationen oder Parameter die Sie eingeben m ssen Dateiname in einem Verfahren bedeutet z B dass Sie den tats chlichen Namen einer Datei eingeben m ssen Au erdem werden neue Begriffe sowie die Titel von Dokumentationen in Kursivschrift angegeben SystemRoot Das Windows Systemverzeichnis das WTSRV WINNT WINDOWS oder ein anderer Verzeichnisname sein kann den Sie bei der Installation von Windows angegeben haben Nicht Text der in einer Textdatei angezeigt wird proportional geschweifte Eine Reihe von Elementen von denen eines in Befehlsanweisungen Kl
435. um Sichern Verschl sseln der Verbindungen zwischen den in einer Double Hop DMZ bereitgestellten Komponenten notwendig sind In einer Double Hop DMZ werden verschiedene Verbindungen zwischen den einzelnen bereitgestellten Komponenten hergestellt F r diese Verbindungen gibt es keine durchgehende SSL Verschl sselung Jede Verbindung kann jedoch einzeln verschl sselt werden Zum Verschl sseln einer Verbindung m ssen Sie das entsprechende SSL Zertifi kat entweder ein vertrauensw rdiges Stammzertifikat oder ein Serverzertifikat auf den an der Verbindung beteiligten Komponenten installieren Kapitel 11 Bereitstellen des Access Gateways in einer Double Hop DMZ 247 Die Tabelle zeigt welche Verbindungen durch die erste Firewall hergestellt werden und welche SSL Zertifikate zum Verschltisseln der einzelnen Verbindun gen erforderlich sind Die Verschl sselung der Verbindungen durch die erste Fire wall ist zwingend erforderlich um den tiber das Internet weitergeleiteten Datenverkehr zu schiitzen Verbindungen durch die erste Firewall F r die Verschl sselung erforderliche Zertifikate Der Webbrowser stellt ber das Internet eine Verbindung zum Access Gateway in der ersten DMZ her Auf dem Access Gateway in der ersten DMZ muss ein SSL Serverzertifikat installiert sein Auf dem Webbrowser muss ein Stammzertifikat installiert sein das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat auf dem
436. und Zertifizierungsstellen Wie kann Frau Meier bei den oben beschriebenen Szenarien sicher sein dass Herr M ller wirklich Herr M ller und kein Betr ger ist Wenn Frau Meier ihren ffentlichen Schl ssel weiterleitet muss auch Herr M ller sicher sein dass Frau Meier tats chlich die Person ist die sie zu sein vorgibt Das ISO X 509 Protokoll definiert einen Mechanismus ein sogenanntes Zertifi kat das den ffentlichen von einer vertrauensw rdigen Organisation einer Zertifizierungsstelle signierten Schl ssel eines Benutzers enth lt Zertifikate enthalten Informationen zum Festlegen von Identit ten in einem Netz werk bei einem Prozess der Authentifizierung genannt wird Wie F hrerscheine P sse oder sonstige Identit tsnachweise erm glichen Zertifikate die gegenseitige Authentifizierung von Servern und Clients bevor eine sichere Verbindung herge stellt wird Zertifikate sind nur f r die Dauer eines bestimmten Zeitraums g ltig Bei Ablauf der G ltigkeitsdauer muss ein neues Zertifikat ausgestellt werden Die Zertifizie rungsstelle kann Zertifikate auch sperren Zur Herstellung einer SSL TLS Verbindung ist an einem Ende der Verbindung ein Serverzertifikat und am anderen Ende der Verbindung ein Stammzertifikat der Zertifizierungsstelle erforderlich die das Serverzertifikat ausgestellt hat Serverzertifikat Mit einem Serverzertifikat wird die Identit t eines Servers best tigt Das f r das Access Gateway erforderlic
437. ung Soll eine Verbindung zu Port 9001 hergestellt werden wenn Sie sich ber eine externe Ver bindung anmelden konfigurieren Sie die IP Pools und stellen Sie die Verbindung zur niedrigsten IP Adresse im IP Pool her Aktivieren von Dom nenanmeldeskripten Im Netzwerk sind ggf Anmeldeskripte vorhanden die nach einer erfolgreichen Anmeldung auf dem Clientcomputer ausgef hrt werden Wenn auf dem Access Gateway Anmeldeskripte aktiviert sind richtet das Access Gateway nach der Authentifizierung die Verbindung ein ruft die Windows Anmeldeskripte vom Dom nencontroller ab und f hrt diese aus um Operationen wie die automatische Laufwerkszuordnung auszuf hren Hinweis Voraussetzung daf r dass Clients die Single Sign On Funktion unter Windows sowie die Anmeldeskripte verwenden k nnen ist die Anmeldung als Hauptbenutzer oder die Mitgliedschaft in der Gruppe der Hauptbenutzer Das Access Gateway kann Anmeldeskripte ausf hren die im Windows Profil des Benutzers bzw in einer Active Directory Gruppenrichtlinie definiert sind Wenn kein Kontakt zum Dom nencontroller hergestellt werden kann wird zwar die Access Gateway Verbindung hergestellt die Anmeldeskripte werden aber nicht ausgef hrt Wichtig Die Clientarbeitsstation muss ein Mitglied der Dom ne sein damit Dom nenanmeldeskripte ausgef hrt werden k nnen Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 171 So aktivieren Sie Anmel
438. ung nicht Es gibt LDAP Server bei denen nur Gruppenobjekte Informationen ber Benut zer enthalten k nnen z B der Lotus Domino LDAP Server Das Benutzerob jekt darf bei diesen LDAP Servern keine Informationen ber Gruppen enthalten Bei solchen LDAP Servern erfolgt die Suche nach der Gruppenmitgliedschaft indem der Benutzer in der Mitgliederliste der Gruppen gesucht wird 92 Citrix Access Gateway Standard Edition Administratorhandbuch Gruppenattributfelder fur die LDAP Autorisierung Die folgende Tabelle enthalt Beispiele fiir LDAP Gruppenattributfelder Microsoft Active Directory Server memberOf Novell eDirectory groupMembership IBM Directory Server ibm allGroups Sun ONE Verzeichnis fr her iPlanet nsRole So konfigurieren Sie die LDAP Autorisierung l A a a Klicken Sie auf die Registerkarte Authorization Wahlen Sie unter Authorization type die Option LDAP authorization Geben Sie unter IP address die IP Adresse des LDAP Servers ein Geben Sie im Feld Port die Portnummer ein Der Standardport ist 389 F hren Sie einen der folgenden Schritte aus Um unsichere LDAP Verbindungen zuzulassen aktivieren Sie die Option Allow Unsecure Connection Um LDAP Verbindungen zu sichern deaktivieren Sie die Option Allow Unsecure Connection Wenn diese Option nicht aktiviert ist sind alle LDAP Verbindungen sicher Geben Sie unter Administrator Bind DN den Administrator Bind DN f r Abfrag
439. ungs stelle CA Certificate Authority ausgegeben wurden Beispiele f r ffentliche Zertifizierungsstellen sind Organisationen wie Verisign und Thawte Private Zertifizierungsstellen werden durch Produkte wie z B Microsoft Zertifikat dienste implementiert Zertifikate die von einer privaten Zertifizierungsstelle signiert wurden werden mitunter als Unternehmenszertifikate oder selbst signierte Zertifikate bezeichnet Der Begriff selbst signiertes Zertifikat ist in diesem Zusammenhang technisch unkorrekt da die Zertifikate von der privaten Zertifizierungsstelle signiert werden Wirklich selbst signierte Zertifikate werden hingegen nicht von einer Zertifizierungsstelle signiert und auch nicht von Citrix Serverkomponenten unter st tzt da dann keine vertrauensw rdige Zertifizierungsstelle dahinter steht Wie bereits oben erw hnt werden aber von einer privaten Zertifizierungsstelle ausge gebene Zertifikate von Citrix Serverkomponenten unterst tzt da der privaten Zertifizierungsstelle vertraut werden kann Zertifikatsperrlisten Zertifikatsperrlisten Certificate Revocation Lists CRLs k nnen nicht vom Administrator konfiguriert werden Wenn ein Benutzer eine Verbindung zum Access Gateway unter Verwendung eines Clientzertifikats herstellt verwendet das Access Gateway die CRLDistributionPoints Erweiterung im Clientzertifikat sofern vorhanden um ber HTTP nach relevanten CRLs zu suchen Das Client zertifikat wird dann mit die
440. ungsticket f r eine ver ffentlichte Anwendung e Das Webinterface erstellt eine Webseite mit einem Link zu jeder ver ffent lichten Anwendung ICA Datei auf die der Benutzer zugreifen darf und leitet diese Webseite an den Clientbrowser weiter Verbindungsherstellung Die endg ltige Herstellung der Verbindung ist die dritte Phase beim Herstellen einer Clientverbindung in einer Double Hop DMZ Bereitstellung Access Gateway Prox Access y y J Gateway i 4 z z Lu Lu Lu a x I DE ber einen internet Webbrowser s Serverfarm mit verbundenes Webinterface parallel Secure Ticket Clientger t zum Access Authority und Gateway installiert XML Dienst Daten bertragung bei der Verbindungsherstellung in einer Double Hop DMZ 228 Citrix Access Gateway Standard Edition Administratorhandbuch Wahrend dieser Phase in der die Verbindung endgiiltig hergestellt wird laufen die folgenden Schritte ab Der Benutzer klickt auf der vom Webinterface bereitgestellten Webseite auf einen Link zu einer ver ffentlichten Anwendung Der Webbrowser erh lt die vom Webinterface erstellte ICA Datei und startet den Citrix Presentation Server Client Hinweis Die ICA Datei enth lt Anweisungen f r den Webbrowser zum Starten des Presentation Server Clients Der Presentation Server Client stellt eine ICA Verbindung zum Access Gateway in der ersten DMZ her Das Access Gateway in der ersten DMZ kommuniziert mit der Secure Ticket
441. unterst tzt das dynamische Routing mit dem Routing Information Protocol RIP und RIP 2 Aktivieren von dynamischem Routing Wenn Sie dynamisches Routing f r das Access Gateway konfigurieren passiert Folgendes Das Access Gateway h rt Routinginformationen ab die in Form von RIP UDP Paketen ver ffentlicht werden Das Access Gateway f llt die Routingtabelle mit den RIP Daten Alle vorhandenen statischen Routen werden deaktiviert Beim dynamischen Routing k nnen Sie festlegen dass das dynamische Gateway die Festlegung des vom Access Gateway verwendeten Standardgateways durch RIP zulassen soll In diesem Fall greift das Access Gateway nicht auf das Standardgateway zur ck das auf der Registerkarte General Networking im Administration Tool angegeben ist Kapitel 5 Konfigurieren des Access Gateways f r die Netzwerkumgebung 65 So aktivieren Sie dynamisches Routing 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Wahlen Sie unter Select routing type die Option Dynamic routing RIP 4 Klicken Sie auf Enable dynamic gateway wenn das von den Routingservern bereitgestellte Standardgateway verwendet werden soll 5 Wahlen Sie unter Routing Interface den oder die Access Gateway Netzwerkadapter aus der oder die ftir das dynamische Routing verwendet werden soll en In der Regel befinden sich die Routingserver innerhalb der Firewall
442. uswertung der Gruppenmitgliedschaft anhand von Gruppenobjekten Einige LDAP Server die die Gruppenmitgliedschaft indirekt anhand von Grup penobjekten auswerten k nnen die Access Gateway Autorisierung verwenden Es gibt LDAP Server bei denen die Benutzerobjekte Informationen zu den Gruppen enthalten k nnen zu denen sie geh ren Dazu geh ren z B Active Directory und eDirectory Die Gruppenmitgliedschaft eines Benutzers kann aus berechenbaren Attributen aus dem Benutzerobjekt hervorgehen wie das z B beim IBM Directory Server oder beim Sun ONE Verzeichnisserver der Fall ist Bei einigen LDAP Servern kann dieses Attribut verwendet werden um die dyna mische Gruppenmitgliedschaft die verschachtelte Gruppenmitgliedschaft und die statische Gruppenmitgliedschaft eines Benutzers einzuschlie en sodass alle Gruppenmitgliedschaften anhand eines einzelnen Attributs gefunden werden k nnen So k nnen z B in IBM Directory Server alle Gruppenmitgliedschaften in stati schen dynamischen und verschachtelten Gruppen ber das Attribut ibm allGroups zur ckgegeben werden In Sun ONE werden alle Rollen ein schlie lich der verwalteten gefilterten und verschachtelten Rollen mit dem Attribut nsRole berechnet Auswertung der Gruppenmitgliedschaft anhand von Gruppenobjekten ohne Access Gateway Autorisierung Einige LDAP Server die die Gruppenmitgliedschaft indirekt anhand von Grup penobjekten auswerten verwenden die Access Gateway Autorisier
443. utzer und w hlen Sie Enable User from MAC Der Benutzer kann jetzt eine Verbindung einrichten sofern eine Lizenz verf gbar ist 176 Citrix Access Gateway Standard Edition Administratorhandbuch Anfordern von Clientzertifikaten fur die Authentifizierung Wenn Sie auf eine zus tzliche Authentifizierung Wert legen k nnen Sie das Access Gateway so konfigurieren dass Clientzertifikate zur Authentifizierung angefordert werden Das Access Gateway kann Clientzertifikate in den folgenden Speicherorten authentifizieren Im Zertifikatspeicher des Windows Betriebssystems auf einem Clientcom puter In diesem Fall wird das Zertifikat unter Verwendung der Microsoft Management Console MMC separat im Zertifikatspeicher installiert Auf einer Smartcard oder einem Hardwaretoken In diesem Fall ist das Zertifikat in die Smartcard eingebettet und wird ber einen Smartcardleser eingelesen der mit dem Netzwerk verbunden ist Hinweis Die Konfiguration des Access Gateways bleibt gleich unabh ngig davon ob die Zertifikate im Windows Betriebssystem oder auf einer Smartcard gespeichert sind Zur Unterst tzung von Clientzertifikaten die sich an diesen Speicherorten befinden ist keine besondere Konfiguration erforderlich Wenn Clients im Kioskmodus oder von einem Linux Computer aus eine Verbin dung herstellen werden clientseitige Zertifikate nicht unterst tzt Falls im Access Gateway Clientzertifikate aktiviert sind funktionieren
444. vergewissern dass das Zertifikat in keiner Zertifikatsperrliste aufgef hrt ist Ablaufen und Erneuern von Zertifikaten Zertifikate werden mit einer geplanten Lebensdauer G ltigkeitsdauer und einem ausdr cklichen Ablaufdatum ausgestellt Nach dem Ausstellen werden Zertifi kate bis zum Erreichen ihres Ablaufdatums als g ltig angesehen Nach dem Ablaufdatum kann ein Zertifikat nicht mehr zum Validieren einer Benutzer sitzung verwendet werden Diese Richtlinie dient zur Erh hung der Sicherheit da das Gef hrdungspotenzial solcher Zertifikate eingeschr nkt wird Diese Ablauf daten werden von der ausstellenden Zertifizierungsstelle festgelegt Normalerweise m ssen Sie ein Zertifikat vor Erreichen seines Ablaufdatums erneuern Die meisten Zertifizierungsstellen bieten einen gut dokumentierten Prozess f r das Erneuern von Zertifikaten Auf der Website Ihrer Zertifizierungs stelle finden Sie detaillierte Anweisungen zum Erneuern von Zertifikaten Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 299 Beantragen von Zertifikaten Beim Ermitteln der f r Ihre Access Gateway Bereitstellung erforderlichen Anzahl und Art von Zertifikaten m ssen Sie entscheiden bei welcher Stelle die Zertifikate zu beantragen sind Diese Entscheidung h ngt von mehreren Faktoren ab wie u a Ist Ihr Unternehmen eine Zertifizierungsstelle Dies ist vermutlich nur bei sehr gro en Unternehmen der Fall Hat Ihr Unternehmen bereits Gesc
445. wachen des Access Gateways 289 So ffnen Sie den Administration Desktop l ffnen Sie einen Webbrowser und geben Sie die IP Adresse oder den FQDN des Access Gateways ein Folgende Formate werden akzeptiert https FODN 9001 oder https IP Adresse 9001 Klicken Sie im Administration Portal auf Downloads Klicken Sie unter Access Gateway Administration Desktop auf Launch the Access Gateway Administration Desktop Geben Sie im Dialogfeld Citrix Access Gateway Remote Admin Desktop einen Administratorbenutzernamen und das entsprechende Kennwort ein Folgende berwachungsanwendungen stehen zur Verf gung Citrix Real time Monitor Zeigt die offenen Clientverbindungen an Wenn Sie sich die Details zu einer Verbindung ansehen m chten klicken Sie auf den Pfeil f r den entsprechenden Benutzernamen Vom Monitor aus k nnen Sie eine Verbindung nach Verbindungstyp TCP usw vor bergehend schlie en und einen Benutzer deaktivieren der Benutzer kann erst wieder eine Verbindung herstellen wenn Sie ihn wieder aktiviert haben und wieder aktivieren Weitere Informationen hierzu finden Sie unter Schlie en und Deaktivieren von Benutzerverbindungen auf Seite 173 Ethereal Network Analyzer Erm glicht es Ihnen interaktiv Paketdaten aus einem aktiven Netzwerk oder aus einer zuvor gespeicherten Erfassungsdatei zu durchsuchen Weitere Informationen finden Sie in der Hilfe im Ethereal Network Analyzer Fenster xNetTools Multithre
446. ware oder Backend Software Das Access Gateway kann zusammen mit anderen Netzwerkprodukten wie z B SLBs Cache Engines Firewalls Routern und drahtlosen IEEE 802 11 Ger ten eingesetzt werden Citrix empfiehlt das Access Gateway in der demilitarisierten Zone DMZ des Unternehmens zu installieren Wenn es in der DMZ installiert wird kann das Access Gateway an zwei Netzwerken teilnehmen einem privaten Netzwerk und einem ffentlichen Netzwerk mit einer IP Adresse die ffentlich geroutet werden kann blicherweise ist das private Netzwerk das Firmennetzwerk und beim ffentlichen handelt es sich um das Internet Sie k nnen mit dem Access Gateway auch lokale Netzwerke innerhalb der Organisation unterteilen um den Zugriff zu steuern und die Sicherheit zu erh hen Sie k nnen Partitionen zwischen Kabel oder drahtlosen Netzwerken und Daten und Sprachnetzwerken erstellen Vorbereitung der Installation des Access Gateways berpr fen Sie vor dem Installieren des Access Gateways ob der Inhalt des Kartons mit der Packliste bereinstimmt Sollte ein auf der Packliste genannter Gegenstand im Karton fehlen wenden Sie sich an Citrix Customer Care Wenn Sie das Access Gateway in einem Rack installieren finden Sie eine Anleitung daf r im Handbuch nstallations bersicht f r Citrix Access Gateway Standard Edition F r die Installation erforderliches Zubeh r und Informationen Besorgen Sie vor dem Installieren des Access Gateways alles
447. was f r die Erst konfiguration und den Anschluss an Ihr Netzwerk n tig ist 40 Citrix Access Gateway Standard Edition Administratorhandbuch Verwenden Sie fiir die Erstkonfiguration eines der folgenden Setups Ein Kreuzkabel und einen Windows Computer Zwei Netzwerkkabel einen Netzwerkswitch und einen Windows Computer Ein serielles Kabel und einen Computer mit Terminalemulationssoftware F r den Anschluss an ein LAN ben tigen Sie Folgendes Ein Netzwerkkabel zum Anschluss des Access Gateways innerhalb einer Firewall oder an einen SLB Zwei Netzwerkkabel zum Anschluss des in der demilitarisierten Zone DMZ befindlichen Access Gateways an das Internet und das private Netzwerk Citrix empfiehlt dass Sie mit der Access Gateway Standard Edition Pre Installation Checklist die folgenden Netzwerkinformationen f r die Ger te zusammenstellen Interne IP Adresse des Access Gateways und zugeh rige Subnetzmaske Externe IP Adresse des Access Gateways und zugeh rige Subnetzmaske Vollqualifizierten Dom nennamen des Access Gateways f r Netzwerk adress bersetzung NAT Network Address Translation IP Adresse des Standardgatewayger ts F r die Verbindungen zu verwendender Port Beim Anschluss des Access Gateways an einen Server Load Balancer SLB ben tigen Sie folgende Informationen IP Adresse des Access Gateways und zugeh rige Subnetzmaske e Einstellungen des Server Load Balancers als Standa
448. weitergeleitet Das Access Gateway f ngt alle vom Clientger t hergestellten Netzwerkverbin dungen ab und multiplext tunnelt diese ber SSL an das Access Gateway wo der Verkehr demultiplext wird und die Verbindungen an die korrekte Kombination aus Host und Port weitergeleitet werden Kapitel 8 Konfigurieren von Benutzerverbindungen f r den Secure Access Client 143 Die Verbindungen unterliegen administrativen Sicherheitsrichtlinien fiir einzelne Anwendungen einen Teilsatz von Anwendungen oder das gesamte Intranet Sie legen die Ressourcen fest Paare aus IP Adressbereichen Subnetzmasken auf die die Remotebenutzer ber die VPN Verbindung zugreifen k nnen Weitere Informationen hierzu finden Sie unter Konfigurieren von Netzwerkzugriff und Gruppenressourcen auf Seite 113 Alle IP Pakete gleich welchen Protokolls werden abgefangen und tiber eine sichere Verbindung weitergeleitet Von lokalen Anwendungen auf dem Client computer ausgehender Verkehr wird sicher durch den Tunnel zum Access Gateway geleitet der dann die Verbindungen mit dem Zielserver wiederherstellt F r die Zielserver sehen die Verbindungen so aus als stammten sie vom lokalen Access Gateway im privaten Netzwerk sodass die IP Adresse des Clients verbor gen wird Dieses Verfahren wird auch Reverse NAT Network Address Trans lation genannt Das Verbergen der IP Adressen erh ht die Sicherheit der Standorte von denen der Verkehr ausgeht Lokal also auf dem Cli
449. weiterleiten kann Sie k nnen das Access Gateway so konfigurieren dass entweder dyna mische oder statische Routen zum Weiterleiten von Daten an interne Netzwerk ressourcen verwendet werden Sie k nnen mit dem Access Gateway ganz gezielt festlegen wie Sie Benutzern Zugriff auf Netzwerkressourcen gew hren Der Benutzerzugriff auf Netzwerk ressourcen l sst sich folgenderma en steuern Sie erstellen Netzwerkressourcengruppen Eine Netzwerkressourcengruppe enth lt einen oder mehrere Netzwerk standort e Im Allgemeinen ist eine Netzwerkressourcengruppe eine Teil gruppe aller Netzwerkressourcen an die das Access Gateway Daten weiterleiten kann Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 115 So kann eine Ressourcengruppe z B den Zugriff auf eine einzelne Anwen dung eine Gruppe von Anwendungen einen Bereich von IP Adressen oder das gesamte Intranet erm glichen Welche Elemente Sie in eine Netzwerk ressourcengruppe aufnehmen h ngt in hohem Ma e von den verschiede nen Zugriffsanforderungen Ihrer Benutzer ab So kann es sein dass Sie einigen Benutzergruppen Zugriff auf viele Ressourcen gew hren m chten w hrend andere Benutzergruppen lediglich auf einen kleinen Teilsatz der Ressourcen zugreifen k nnen sollen Durch Erlauben und Verweigern des Benutzergruppenzugriffs auf Netzwerkressourcengruppen erstellen Sie eine Zugriffssteuerungsliste Access Control List ACL f r die betreffende Benutzergru
450. wen dung Die ICA Datei enth lt das von der Secure Ticket Authority ausge stellte Ticket Im Webinterface wird daraufhin eine Webseite mit einer Liste der Links zu den ver ffentlichten Anwendungen ICA Dateien angezeigt die an den Clientwebbrowser weitergeleitet wird 252 Citrix Access Gateway Standard Edition Administratorhandbuch Starten des Clients Das Starten des Clients ist die dritte Phase beim Herstellen einer Client verbindung in einer Double Hop DMZ Bereitstellung 9 Der Benutzer klickt auf der vom Webinterface bereitgestellten Webseite auf einen Link zu einer ver ffentlichten Anwendung Das Webinterface leitet die ICA Datei f r diese ver ffentlichte Anwendung an den Clientbrowser weiter Durch die in der ICA Datei enthaltenen Daten wird der Webbrowser angewiesen einen Citrix Presentation Server Client zu starten Die ICA Datei enth lt auch den vollqualifizierten Dom nennamen oder den DNS Namen des Access Gateways in der ersten DMZ Der Webbrowser startet den Presentation Server Client der mit dem in der ICA Datei enthaltenen Access Gateway Namen eine Verbindung zum Access Gateway in der ersten DMZ herstellt Es kommt zum ersten SSL TLS Handshake um die Identit t des Servers zu ermitteln auf dem das Access Gateway ausgef hrt wird Verbindungsherstellung Die endg ltige Herstellung der Verbindung ist die vierte und letzte Phase beim Herstellen einer Clientverbindung in einer Double Hop DMZ Berei
451. werden durch die Konfiguration der Access Gateway Routingtabelle und das f r das Access Gateway festgelegte Standardgateway bestimmt Wenn das Access Gateway ein Paket erh lt berpr ft es die Routingtabelle Wenn sich die Zieladresse des Pakets in einem Netzwerk befindet fiir das eine Route in der Routingtabelle vorhanden ist wird das Paket an dieses Netzwerk weitergeleitet Wenn das Access Gateway ein Paket erh lt und die Routingtabelle keine Route f r die Zieladresse des Pakets enth lt sendet das Access Gateway das Paket an das Standardgateway Die Routingfunktionen des Standardgateways bestimmen dann wie das Paket weitergeleitet wird Die Routingtabelle des Access Gateways muss alle Routen enthalten die zum Weiterleiten von Daten an interne Netzwerkressourcen erforderlich sind auf die Benutzer eventuell Zugriff ben tigen Sie legen fest wie die Access Gateway Routingtabelle konfiguriert werden Sie k nnen eine Routing Information Protocol RIP Option ausw hlen sodass Routen von einem RIP Server automatisch konfiguriert werden oder Sie k nnen eine statische Routingoption ausw hlen und die Routen manuell konfigurieren Weitere Informationen hierzu finden Sie unter Konfigurieren von dynamischen und statischen Routen auf Seite 64 Bereitstellen von Netzwerkzugriff f r Benutzer Die Netzwerkressourcen zu denen Sie Benutzern Zugriff gew hren m ssen sich in einem Netzwerk befinden an das das Access Gateway Daten
452. y ein dass keine Autorisierung erforderlich ist 1 Wahlen Sie auf der Registerkarte Authentication einen Autorisierungsbereich aus 2 Klicken Sie auf die Registerkarte Authorization und w hlen Sie unter Authorization type die Option No authorization Konfigurieren des Bereichs Default Das Access Gateway verf gt ber einen permanenten Bereich mit der Bezeich nung Default Der Bereich Default ist f r lokale Authentifizierung vorkonfigu riert Wenn Sie die Authentifizierungsmethode des Bereichs Default ndern m chten muss dieser sofort durch einen neuen Bereich Default ersetzt werden Der Bereich Default wird verwendet wenn ein Benutzer bei der Anmeldung am Access Gateway lediglich einen Benutzernamen eingibt Bei allen anderen Berei chen muss beim Anmelden ein Bereichsname eingegeben werden Wenn sich die meisten Benutzer bei einem nicht lokalen Authentifizierungsbereich anmelden sollten Sie daher den Authentifizierungstyp f r den Bereich Default ndern Entfernen Sie zum ndern des Authentifizierungstyps des Bereichs Default diesen Bereich und erstellen Sie dann sofort einen neuen mit der entsprechenden Authentifizierungskonfiguration Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 81 So k nnen Sie den Bereich Default entfernen und neu erstellen 1 Klicken Sie auf die Registerkarte Authentication 2 ffnen Sie das Fenster f r den Bereich Default 3 Wahlen Sie im Men Action den
453. y muss der Gruppenname wie folgt angegeben werden cn Gruppenname Der auf dem Access Gateway definierte Gruppenname muss identisch mit dem auf dem LDAP Server definierten Gruppennamen sein Bei anderen LDAP Verzeichnissen ist der Gruppenname entweder nicht erforderlich oder er muss sofern er doch n tig ist in folgender Form angegeben werden ou Gruppenname Das Access Gateway registriert sich mit den Administratoranmeldeinfor mationen beim LDAP Server und sucht dann nach dem Benutzer Wenn der Benutzer gefunden ist hebt das Access Gateway die Registrierung mit den Administratoranmeldeinformationen auf und registriert sich erneut mit den Benutzeranmeldeinformationen Geben Sie unter Administrator password das Kennwort ein 90 Citrix Access Gateway Standard Edition Administratorhandbuch 6 Geben Sie unter Base DN location of users den Basis DN f r die Benutzer ein Der Basis DN wird normalerweise vom Bind DN abgeleitet indem der Benutzername entfernt und die Gruppe angegeben wird in der sich die Benutzer befinden Die Syntax fiir den Basis DN kann z B wie folgt aussehen ou users dc ace dc com cn Users dc ace dc com 7 Geben Sie unter Server logon name attribute das Attribut ein unter dem das Access Gateway nach den Benutzeranmeldenamen fiir den LDAP Server suchen soll den Sie gerade konfigurieren Das Standardattribut ist sAMAccountName Wenn Sie andere Verzeichnisse verwenden verwenden Sie als Attribut e
454. zer Server im internen sicheren Netzwerk pingen Das Access Gateway selbst kann keinen ICMP Verkehr empfangen So lassen Sie ICMP Verkehr zu 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Aktivieren Sie auf der Registerkarte Administration im Bereich Access management die Option Allow ICMP traffic 3 Klicken Sie auf Apply Change Konfigurieren pers nlicher Firewalls von Drittanbietern Wenn ein Benutzer keine Verbindung zum Access Gateway herstellen oder nicht auf zugelassene Ressourcen zugreifen kann wird der Verkehr m glicherweise durch die Firewallsoftware auf dem Computer des Benutzers blockiert Das Access Gateway kann zusammen mit allen pers nlichen Firewalls eingesetzt werden sofern die Anwendung die Festlegung eines vertrauensw rdigen Netz werks oder einer IP Adresse f r das Access Gateway erm glicht Citrix empfiehlt dass die pers nliche Firewall des Benutzers dem Secure Access Client vollen Zugriff gew hren sollte Wenn Sie keinen vollst ndigen Zugriff gew hren m chten sollten die folgenden UDP und UDP TCP Ports offen sein e 10000 UDP 10010 UDP TCP e 10020 UDP e 10030 UDP Pers nliche Firewalls m ssen so konfiguriert sein dass sie eingehenden und aus gehenden Datenverkehr von der IP Adresse des Access Gateways oder dem voll qualifizierten Dom nennamen zulassen Auf der Seite Eigenschaften im Secure Access Client k nnen Sie sehe
455. zer an und wird authentifi ziert Sobald die Authentifizierung erfolgt ist wird das Webinterface ge ffnet das hinter dem Access Gateway ausgef hrt wird Das Webinterface verhandelt mit der STA Secure Ticket Authority und zeigt dann eine Liste der ver ffent lichten Anwendungen an Wenn der Client auf eine ver ffentlichte Anwendung klickt verwendet er die im Webinterface konfigurierten STA Informationen und wenn das Ticket an den Client zur ckgesendet wird wird die ICA Verbindung ber den Citrix Presentation Server Client hergestellt In diesem Szenario wird der Secure Access Client nicht verwendet Zur Herstellung einer Verbindung ber das Access Gateway pr sentiert der Client dem Access Gateway das Ticket Anschlie end berpr ft das Access Gateway das Ticket anhand seiner Server liste Wenn eine ICA Verbindung ber Citrix Presentation Server Clients hergestellt wurde wird die Authentifizierung des Clientzertifikats nicht unterst tzt Secure Ticket Authority gibt ICA Verbindung wird Ticket aus berpr ft es und ica Internet durch das Access startet dann den Citrix Gateway zur ckgef hrt Presentation Server Client lt lt 2 De Lu Zr mw 5 4 ce aa rei Access L SSL Gateway ICA Citrix Presentation Verbindung Webinterface wird a Daten Server mit Secure hinter dem Access verkehr Ticket Authority Gateway ausgef hrt Herstellen der Verbindung von Citrix Presentation Server Clients mit einer Serve
456. zern den Zugriff auf beide Clients gestatten m chten w hrend andere Benutzer nur auf den Secure Access Client oder den Kioskmodus zugreifen k nnen sollen F gen Sie dem Access Gateway dazu benutzerdefinierte Portalseiten hinzu und legen Sie dann fest welche Portalseite f r welche Benut zergruppe verwendet werden soll Hinweis Wenn Sie der Vorlage Text hinzuf gen oder Format nderungen vornehmen m chten sollten Sie jemanden zurate ziehen der sich mit HTML auskennt nderungen die ber die M glichkeiten hinausgehen die in diesem Abschnitt beschrieben werden werden nicht unterst tzt Herunterladen von und Arbeiten mit Portalseitenvorlagen Die Portalseitenvorlagen stehen im Administration Portal auf der Seite Downloads zur Verf gung Die Portalseitenvorlagen enthalten Variablen die das Access Gateway durch den aktuellen Benutzernamen und durch Links ersetzt die f r den Computer relevant sind der die Verbindung herstellt Windows 2000 oder h her oder Linux Wenn Sie auch Benutzer mit Macintosh Windows 95 oder Windows 98 Computern haben k nnen Sie diesen den Zugriff auf den Java basierten Kiosk modus gestatten indem Sie wie in diesem Abschnitt erl utert in die von diesen Gruppen verwendete n Vorlage n die entsprechende Variable einf gen Die f r Vorlagen zur Verf gung stehenden Variablen werden in der folgenden Tabelle erkl rt Variable Durch Variable eingef gter Inhalt c
457. zlaufwerke zuordnen um auf f r sie zug ngliche Netzwerkres sourcen wie z B freigegebene Ordner und Drucker zuzugreifen W hrend der Verbindung mit dem Access Gateway k nnen Remotebenutzer keine Netzwerkinformationen von der Site aus sehen mit der sie verbunden sind Geben Sie z B an einer Eingabeaufforderung Folgendes ein w hrend Sie mit dem Access Gateway verbunden sind ipconfig all or route print Es werden keine aus dem Unternehmensnetzwerk stammenden Netzwerk informationen angezeigt Installieren von ActiveX Helper Wenn der Benutzer eine Verbindung zur Webportalseite herstellt und sich anmel det wird net6helper cab ein ActiveX Steuerelement installiert Diese Datei bietet die folgenden drei Hauptfunktionen Sie startet den Client von der Webseite aus der Secure Access Client muss also nicht erst heruntergeladen und gestartet werden Sie f hrt f r die Webseite berpr fungen vor der Authentifizierung durch e Sie bietet Single Sign On Funktionalit t unter Windows f r den gesamten Client Wenn der Secure Access Client von der Webseite aus gestartet wird wird der Benutzer nicht aufgefordert sich erneut anzumelden Kapitel 8 Konfigurieren von Benutzerverbindungen fur den Secure Access Client 153 Anmelden mit dem Secure Access Client Wenn der Secure Access Client geladen ist werden die Benutzer aufgefordert sich am Access Gateway anzumelden damit die Verbindung hergestellt wird Der Access
458. zu gew hr leisten k nnen Sie zwei oder mehrere Access Gateway Ger te bereitstellen und f r gegenseitiges Failover konfigurieren In dieser Bereitstellung steht stets ein alternatives Access Gateway zur Verf gung wenn ein Access Gateway ausf llt Da das Access Gateway Failover aktiv aktiv ist kann jedes Access Gateway als prim res Gateway f r eine andere Gruppe von Benutzern verwendet werden Zugriff auf Access Gateway nicht m glich Bei Ausfall des ersten Access Gateways wird der Client gezwungen f das zweite Ger t zu NA Dateiserver verwenden j lt gt 3 ie Lu iu Pr cc x RI Internet u uw ary Uber den Secure Access E Mail Server Client verbundenes Verbindung geht en Clientger t zum zweiten G Access Gateway C Web oder Anwendungsserver Mehrere Access Gateway Ger te sorgen f r Failover Wenn ein Access Gateway f r Failover konfiguriert ist liefert das Access Gateway eine Failoverliste an den Secure Access Client Wenn der Secure Access Client das erste Mal eine Verbindung herstellt erh lt er vom Access Gateway die Failoverliste Sobald der Client die Verbindung zum prim ren Access Gateway verliert geht er die Liste der Failoverger te durch Wenn das prim re Access Gateway ausf llt versucht der Client 20 Sekunden lang die Verbindung wiederherzustellen Wenn diese Versuche fehlschlagen wird die Verbindung anhand der Angaben in der Failoverliste hergestellt Der Clien
459. zungstimeouts Deaktivieren von Desktopfreigaben Aktivieren von IP Pooling Mitunter ben tigen Benutzer die sich ber den Secure Access Client anmelden eine eindeutige IP Adresse f r das Access Gateway So muss z B in einer Samba Umgebung jeder Benutzer der eine Verbindung zu einem zugewiesenen Netzlaufwerk herstellt den Eindruck erwecken dass er sich von einer anderen IP Adresse aus anmeldet Wenn Sie das IP Pooling f r eine Gruppe aktivieren kann das Access Gateway jedem Client einen eindeutigen IP Adressalias zuweisen Sie k nnen das Gatewayger t angeben das f r das IP Pooling verwendet werden soll Als Gatewayger t kommen sowohl das Access Gateway selbst als auch einige andere Ger te infrage Wenn Sie kein Gateway festlegen wird auf der Basis der Einstellungen auf der Registerkarte General Networking eine Access Gateway Schnittstelle verwendet wobei Folgendes gilt Wenn Sie nur die Schnittstelle 0 konfiguriert haben das Access Gateway befindet sich innerhalb Ihrer Firewall wird die IP Adresse der Schnittstelle 0 als Gateway verwendet Wenn Sie die Schnittstellen 0 und 1 konfiguriert haben das Access Gateway befindet sich in der DMZ wird die IP Adresse der Schnittstelle 1 als Gateway verwendet In diesem Szenario ist Schnittstelle 1 die interne Schnittstelle Hinweis Nach einer Aktualisierung von Access Gateway Version 4 9 oder 4 0 m ssen die IP Pooling Daten erneut eingegeben werden Kapitel 8
Download Pdf Manuals
Related Search