1. Настройка WebInterface.
2. Политика доступа
3. Политика аутентификации
4. Настройка Virtual Server
5. Проверка
6. Персональная настройка
7. Добавление Exchange OWA на портал
8. Customization
Преамбула
Предполагается, что NetScaler VPX уже развернут и настроен,
domain.local - внутренний доменdomain.com - внешний домен
10.0.0.70 - XenDesktop, WebInterface (xd.domain.local)
10.0.0.201 - Domain Controller, DNS, NTP Server, Certificate Authority (CA)
10.0.0.240 - NetScaler_1
10.0.0.241 - NetScaler_2
10.0.0.241 - Access Gateway Virtual Server (ag.domain.com)
10.0.0.243 - NetScaler subnet IP
1. Настройка WebInterface.
Начнем настройку с создания сайта WebInterface для Access Gateway. Запускаем Citrix Web Interface Management и создаем новый Web сайт.
Указываем название сайта
https://<access gateway>/CitrixAuthService/AuthService.asmx
Здесь надо обратить внимание, что адрес указан внешним именем, так как сертификат для AG выписан на имя "ag.domian.com". Получение сертификата описано здесь. Поэтому надо проверить, что сервер на котором стоит XenDesktop доверяет этому доменному имени (например открыв адрес в Internet Explorer'е когда Virtual Server c AG уже создан).
Next - Next и дожидаемся окончания создания сайта.
Отмечаем Настроит сайт сейчас и Далее
Здесь также как и в адресе аутентификации, адрес AG указывается доверенным именем.
https://<xen desktop>/scripts/ctxsta.dll
Стоит обратить внимание, что точно такой же путь надо будет указать в настройках AG.
WebInterface настроен.
2. Политика доступа
Переходим к настройке Access Gateway. Открываем диалог создания политики доступа
Access Gateway - Poliсies - Session - Add...
Задаем имя, указываем выражение и нажимаем создать новый профиль
Создаем профиль с указанными параметрами
ICA Proxy указываем OFF, чтобы предварительно попасть на портал Access Gateway, если указать ON будет отображаться только станица WebInterface.
Portal Mode используется COMPACT, просто потому что он быстрее.
3. Политика аутентификации
Открываем диалог создания политики аутентификации
Access Gateway - Poliсies - Authentication - LDAP - Add...
Задаем имя, указываем выражение и нажимаем создать новый сервер
Все уникальные имена(distinguishedName) можно либо набрать вручную, либо скопировать из свойств объектов в оснастке adsiedit.msc контроллера домена.
Base DN - путь где хранятся учетные данные пользователей.
Administrator Bind DN - путь к учетной записи, под которой Access Gateway будет подключаться к контроллеру домена.
Можно дополнительно задать Search Filter. На изображении указан фильтр, чтобы аутентификацию проходили только пользователи из группы "Citrix AG Connection Permit".
Рекомендуется использовать Secure LDAP, чтобы пароли не передавались в открытом виде даже по локальной сети, поэтому установлен переключатель SSL и порт должен измениться на 636.
4. Настройка Virtual Server
Открываем диалог создания сервераAccess Gateway - Virtual Server - Add...
И указываем имя, ip адрес и сертификат
Указываем политику доступа
И STA
Нажимаем Create и Close.
Если STA правильно настроено, то через некоторое время, переоткрыв свойства Virtual Server, состояние STA должно стать UP.
5. Проверка
Открываем созданный Access GatewayНа клиенте рекомендуется добавить этот сайт в доверенные.
Публикация завершена.
Если, что-то не работает в первую очередь надо проверять доверие: клиент должен без предупреждений безопасности открывать Access Gateway; XenDesktop WebInterface должен доверять адресам указанным в настройках безопасности и аутентификации.
Так же можно просмотреть события зафиксированные Access Gateway
6. Персональная настройка
Предположим, что для конкретного пользователя не нужно предоставлять доступ на портал Access Gateway, а надо сразу отображать страницу XenDesktop.
Создаем новый профиль доступа
Access Gateway - Poliсies - Session - Закладка Profile - Выбираем Public Profile - Add...
Так как предварительно выбрали существующий профиль, то все настройки должны были скопироваться в новый
Задаем имя и изменяем два параметра ICA Proxy и Portal Mode
Далее добавляем пользователя
Access Gateway -Users - Add...
Оставляем галочку External Authentication и добавляем политику доступа
7. Добавление Exchange OWA на портал
Exchange OWA можно добавить двумя способами через Bookmark и через профиль доступа. Добавим оба.Создаем закладку
Второй способ: в профиле доступа указываем Web Email
Access Gateway - Poliсies - Session - Закладка Profile
Теперь при входе на портал созданная закладка отображается в разделе Enterprise Web Sites, а Web Email отображается в виде вкладки.
PS: я обычно использую закладку, потому что OWA открывается в новом окне и нормально работает, а во вкладке OWA сильно тормозит.
8. Customization
Для настройки портала Access Gateway можно посмотреть следующие статьи CTX118305, CTX119116, CTX120643.Например мы хотим убрать с портала вкладку File Transfer и раздел File Shares.
С помощью WinSCP заходим на NetScaler, и открываем файл
/netscaler/portal/template/homepage.html
Вносим изменения указанные в статьях, или по собственному желанию и сохраняем файл.
Теперь портал выглядит так:
Эти изменения сохраняться только до перезагрузки NetScaler, а после все изменения будут сброшены.
Чтобы изменения сохранились надо создать скрипт, который будет заменять файлы при загрузке NetScaler.
Создаем папку например /var/mods и копируем туда измененный homepage.html
Далее создаем файл скрипта, если его еще нет, /flash/nsconfig/rc.netscaler
и добавляем в него строку
cp /var/mods/homepage.html /netscaler/portal/templates/homepage.html
Теперь, после перезагрузки файл homepage.html будет заменен на новый.
Стоит помнить, что если вы используете режим высокой доступности(High Availability), то папка /flash/nsconfig будет синхронизирована автоматически, а папку /var/mods нужно скопировать на все оставшиеся узлы вручную.
Комментариев нет:
Отправить комментарий