citrix gateway 13...認証の無効化 92 特定の時間に対する認証の設定 92...

Citrix Gateway 130

Machine translated content

Disclaimerこのコンテンツの正式なバージョンは英語で提供されていますCitrixドキュメントのコンテンツの部はお客様の利便性のみを的として機械翻訳されていますCitrixは機械翻訳されたコンテンツを管理していないため誤り不正確な情報不適切な語が含まれる場合があります英語の原から他語への翻訳について精度信頼性適合性正確性またはお使いの Citrix製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証該当するライセンス契約書またはサービス利規約あるいは Citrixとのその他すべての契約に基づき提供される保証および製品またはサービスのドキュメントとの致に関する保証は明的か黙的かを問わずかかるドキュメントの機械翻訳された範囲には適されないものとします機械翻訳されたコンテンツの使に起因する損害または問題についてCitrixは責任を負わないものとします

Citrix Product Documentation | docscitrixcom August 20 2020

Citrix Gateway 130

Contents

Citrix Gatewayのリリースノート 3

Citrix Gatewayについて 3

Citrix Gatewayアーキテクチャ 4

ユーザー接続の仕組み 6

般的な展開 8

DMZでのデプロイ 9

セキュリティで保護されたネットワークでの展開 10

クライアントソフトウェアの要件 10

Citrix Gatewayプラグインのシステム要件 11

エンドポイント分析の要件 12

Citrix製品との互換性 14

ライセンス 15

Citrix Gatewayのライセンスの種類 16

プラットフォームまたはユニバーサルライセンスファイルの 17

Citrix Gatewayにライセンスをインストールするには 18

ユニバーサルライセンスのインストールの確認 19

よくある質問 20

はじめに 22

セキュリティの計画 23

前提条件 25

インストール前のチェックリスト 25

アップグレードしています 31

システムのインストール 32

copy 1999-2020 Citrix Systems Inc All rights reserved 2

Citrix Gateway 130

Citrix Gatewayの構成 33

構成ユーティリティの使 34

Citrix Gatewayのポリシーとプロファイル 34

ポリシーのしくみ 35

ポリシーの優先順位の設定 36

条件付きポリシーの設定 36

Citrix Gatewayでのポリシーの作成 37

システム式の設定 37

単純な式と複合式を作成する 38

カスタム式の追加 39

ポリシー式での演算と演算の使 39

Citrix Gatewayの構成設定の表 45

Citrix Gateway構成の保存 45

Citrix Gateway構成のクリア 47

ウィザードを使した Citrix Gatewayの構成 47

初回セットアップウィザードを使した Citrix Gatewayの構成 50

Configuring Settings with the Quick ConfigurationWizard 51

Citrix Gatewayウィザードを使した設定の構成 55

Citrix Gatewayでのホスト名および完全修飾ドメイン DNの構成 56

証明書のインストールと管理 56

証明書署名要求の作成 57

Citrix Gatewayへの署名付き証明書のインストール 58

中間証明書の構成 59

認証にデバイス証明書を使する 60


Citrix Gateway 130

既存の証明書のインポートとインストール 62

証明書を PFX形式から PEM形式に変換する 63

証明書失効リスト 65

OCSPによる証明書ステータスのモニタリング 69

OCSP証明書ステータスの設定 71

Citrix Gateway構成のテスト 72

仮想サーバーの作成 73

追加の仮想サーバーを作成するには 74

仮想サーバでの接続タイプの設定 74

ワイルドカード仮想サーバに対するリッスンポリシーの設定 75

Citrix Gatewayでの IPアドレスの構成 77

マッピングされた IPアドレスの変更または削除 78

サブネット IPアドレスの設定 78

ユーザ接続の IPv6の設定 79

セキュリティで保護されたネットワークにある DNSサーバーの解決 80

DNS仮想サーバの構成 81

ネームサービスプロバイダの設定 82

サーバ起動接続の構成 83

Citrix Gatewayでのルーティングの構成 84

動ネゴシエーションの設定 86

認証と承認 87

デフォルトのグローバル認証タイプの設定 87

認可なしの認証の設定 89

認可の設定 89


Citrix Gateway 130

認可ポリシーの設定 89

デフォルトのグローバル認可の設定 91

認証の無効化 92

特定の時間に対する認証の設定 92

認証ポリシーのしくみ 93

認証プロファイルの設定 94

認証ポリシーのバインド 95

認証ポリシーの優先順位の設定 96

ローカルユーザの構成 97

グループの構成 98

グループへのユーザーの追加 99

グループを使したポリシーの設定 99

LDAP認証の構成 100

構成ユーティリティを使して LDAP認証を構成するには 102

LDAPディレクトリ内の属性の決定 104

LDAPグループ抽出の設定 105

LDAPグループ抽出のユーザーオブジェクトからの直接の動作 105

LDAPグループ抽出がグループオブジェクトから間接的に機能する法 106

LDAP認可グループのアトリビュートフィールド 106

LDAP認可を設定するには 106

LDAPネストされたグループ抽出の設定 107

複数のドメインに対する LDAPグループ抽出の設定 108

グループ抽出のセッションポリシーの作成 109

複数のドメインの LDAP認証ポリシーの作成 110


Citrix Gateway 130

複数のドメインの LDAPグループ抽出のためのグループとバインディングポリシーの作成 111

クライアント証明書認証の構成 112

クライアント証明書認証ポリシーの構成およびバインド 113

2要素クライアント証明書認証の設定 114

スマートカード認証の構成 114

共通アクセスカードの設定 116

RADIUS認証の構成 117

RADIUS認証を構成するには 118

RADIUS認証プロトコルの選択 119

IPアドレス抽出の設定 119

RADIUSグループ抽出の設定 120

RADIUS認可を設定するには 123

RADIUSユーザアカウンティングの設定 123

SAML認証の構成 126

SAML認証を設定するには 129

SAML認証を使して Citrix Gatewayにログインする 130

SAML認証の認証の改善 131

TACACS+認証の設定 133

基本設定のクリアTACACS設定をクリアしない 134

多要素認証の設定 135

カスケード認証の設定 136

2要素認証の設定 137

シングルサインオンの認証タイプの選択 138

クライアント証明書および LDAP 2要素認証の設定 138


Citrix Gateway 130

シングルサインオンの設定 141

Windowsでのシングルサインオンの設定 141

Webアプリケーションへのシングルサインオンの構成 142

LDAPを使したWebアプリケーションへのシングルサインオンの構成 144

ドメインへのシングルサインオンの設定 145

Microsoft Exchange 2010でシングルサインを構成する 145

ワンタイムパスワードの使の設定 147

RSAセキュリティ ID認証の設定 148

RADIUSを使したパスワードリターンの設定 149

Configuring SafeWord Authentication 150

Gemalto Protiva認証の設定 151

Gateway認証の nFactor 151

Unified Gateway Visualizer 168

モバイルタブレットデバイスで RADIUS認証と LDAP認証を使するように Citrix Gatewayを構成する 173

VPNユーザエクスペリエンスの設定 175

Citrix Gatewayプラグインでのユーザー接続のしくみ 176

セキュアトンネルの確 177

ファイアウォールとプロキシを介した操作 178

Citrix Gatewayプラグインのアップグレード制御 178

Citrix Gatewayで完全な VPNセットアップを構成する 181

ユーザーアクセス式の選択 187

ユーザーアクセスの Citrix Gatewayプラグインの展開 188

ユーザーの Citrix Gatewayプラグインの選択 190

Windowsの Citrix Gatewayプラグインのインストール 192


Citrix Gateway 130

Active Directoryからの Citrix Gatewayプラグインの展開 193

Active Directoryを使した Citrix Gatewayプラグインのアップグレードと削除 195

Active Directoryを使した Citrix Gatewayプラグインのインストールのトラブルシューティング 196

Java Citrix Gatewayプラグインを使した接続 196

Citrix Gatewayプラグインと Citrix Workspaceアプリの統合 198

ユーザー接続と Citrix Workspaceアプリの仕組み 199

Citrix Workspaceアプリへの Citrix Gatewayプラグインの追加 199

Citrix Workspaceアプリのアイコンの切り離し 202

ICA接続の IPv6の構成 203

CitrixCitrix Gatewayでの Citrix Workspaceアプリのホームページの構成 204

ログオンページへの Receiverテーマの適 205

ログオンページのカスタムテーマの作成 206

ユーザーポータルのカスタマイズ 207

クライアントレスアクセスの設定 215

クライアントレスアクセスの有効化 216

Webアドレスのエンコーディング 217

クライアントレスアクセスポリシーのしくみ 218

新しいクライアントレスアクセスポリシーの作成 220

Citrix Gatewayを使した度なクライアントレス VPNアクセス 221

ユーザーのドメインアクセスの構成 223

クライアントレスアクセスの構成 224

SharePointサイトをホームページとして設定する 225

SharePoint 2007サーバーの名前解決を有効にする 225

クライアントレスアクセスパーシステント Cookieの有効化 226


Citrix Gateway 130

SharePointのクライアントレスアクセスの永続的な Cookieの構成 227

Web Interfaceを使したクライアントレスアクセスのユーザ設定の保存 228

クライアント選択ページの設定 229

ログオン時のクライアント選択ページの表 230

クライアント選択オプションの構成 231

アクセスシナリオフォールバックの設定 233

アクセスシナリオフォールバックのポリシーの作成 234

Citrix Gatewayプラグインの接続を構成する 237

ユーザセッション数の設定 238

タイムアウト設定の構成 238

強制タイムアウトの設定 239

セッションまたはアイドルタイムアウトの設定 240

内部ネットワークリソースへの接続 241

分割トンネリングの構成 242

クライアントインターセプションの設定 244

Citrix Gatewayプラグインのイントラネットアプリケーションの構成 244

Java Citrix Gatewayプラグインのイントラネットアプリケーションの構成 246

ネームサービス解決の設定 247

ユーザ接続のプロキシサポートの有効化 248

アドレスプールの設定 249


アドレスプールオプションの定義 252

VoIP電話のサポート 254

Java Citrix Gatewayプラグインのアプリケーションアクセスの構成 255


Citrix Gateway 130

アクセスインターフェイスの設定 257

アクセスインタフェースのカスタムホームページへの置換 257

アクセスインターフェイスの変更 258

Webリンクとファイル共有リンクの作成と適 259

ブックマークでのユーザー名トークンの設定 260

トラフィックポリシーの仕組み 261

トラフィックポリシーの作成 261

フォームベースのシングルサインオンの設定 263

SAMLシングルサインオンの設定 264

トラフィックポリシーのバインディング 265

トラフィックポリシーの削除 265

セッションポリシーの設定 266

セッションプロファイルの作成 267

セッションポリシーのバインド 270

StoreFrontの Citrix Gatewayセッションポリシーの構成 270

エンタープライズブックマークの度なポリシーサポート 274

エンドポイントポリシーの設定 277

エンドポイントポリシーのしくみ 277

ユーザーログオンオプションの評価 279

事前認証ポリシーのプライオリティの設定 280

事前認証ポリシーおよびプロファイルの設定 280

エンドポイント分析式の設定 282

カスタム式の設定 283

複合式を設定する 284


Citrix Gateway 130

事前認証ポリシーのバインド 285

事前認証ポリシーのバインド解除と削除 286

認証後ポリシーの設定 287


認証後スキャンの頻度の設定 288

検疫および認可グループの設定 289

隔離グループの設定 289

認可グループの設定 290

ユーザデバイスのセキュリティ事前認証式の設定 291

ウイルス対策ファイアウォールインターネットセキュリティまたはスパム対策の式を構成する 292

サービスポリシーの設定 293

プロセスポリシーの設定 294

オペレーティングシステムポリシーの構成 295

レジストリポリシーの構成 297

複合クライアントセキュリティ式の設定 299

度なエンドポイント分析スキャン 302

度なエンドポイント分析スキャンの設定 302

度なエンドポイント分析ポリシー式リファレンス 307

度なエンドポイント分析スキャンのトラブルシューティング 315

ユーザーセッションの管理 315

AlwaysON 317

Windowsログオン前に AlwaysON VPN (正式には AlwaysOnサービス) 322

Windowsログオン前に AlwaysONの VPNを構成する 323



Citrix Gateway 130

Unified Gatewayに関する FAQ 330

ダブルホップ DMZでの展開 339

ダブルホップ DMZでの Citrix Gatewayの展開 340

ダブルホップ展開の仕組み 340

ダブルホップ DMZ配置における通信フロー 341

ユーザーの認証 342

セッションチケットの作成 343

Citrix Workspaceアプリの起動 343

接続の完了 344

ダブルホップ DMZ配置の準備 345

ダブルホップ DMZでの Citrix Gatewayのインストールと構成 346

Citrix Gatewayプロキシ上の仮想サーバーでの設定の構成 347

アプライアンスのプロキシと通信するためのアプライアンスの設定 348

STAトラフィックと ICAトラフィックを処理するように Citrix Gatewayを構成する 349

ファイアウォールで適切なポートを開く 350

ダブルホップ DMZ配置での SSL証明書の管理 352

可性の使 354

可性の仕組み 355

可性の設定 356

RPCノードのパスワードの変更 358

プライマリアプライアンスとセカンダリアプライアンスの可性の構成 359

通信間隔の構成 360

Citrix Gatewayアプライアンスの同期 360

可性セットアップでの構成ファイルの同期 362


Citrix Gateway 130

コマンド伝播の設定 362

コマンド伝播のトラブルシューティング 363

フェールセーフモードの設定 364

仮想MACアドレスの設定 366

IPv4仮想MACアドレスの設定 366

IPv4仮想MACアドレスの作成または変更 367


IPv6の仮想MACアドレスの作成または変更 368

異なるサブネットでの可性ペアの設定 369

リモートノードの追加 371

ルートモニタの設定 372

ルートモニタの追加または削除 374

リンク冗性の設定 375

フェイルオーバーの原因の理解 376

ノードからのフェイルオーバーの強制実 377

プライマリまたはセカンダリノードでのフェイルオーバーの強制実 377

プライマリノードを強制的にプライマリに留める 378

セカンダリノードを強制的にセカンダリ状態にする 378

クラスタリングの使 379

クラスタリングの構成 380

システムのメンテナンスとモニタリング 384

委任された管理者の構成 384

委任された管理者のコマンドポリシーの設定 385

委任された管理者のカスタムコマンドポリシーの設定 386


Citrix Gateway 130

Citrix Gatewayでの監査の構成 388

Citrix Gatewayでのログの設定 389

ACLロギングの設定 391

Citrix Gatewayプラグインのログ記録の有効化 392

ICA接続を監視するには 393

Citrix製品との統合 394

ユーザーがアプリケーションデスクトップShareFileに接続する法 395

Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使した展開 396

Web Interfaceを使した Citrix Virtual Apps and Desktopsリソースへのアクセス 397

Citrix Gatewayと Citrix Virtual Apps and Desktopsの統合 398

サーバファームへのセキュアな接続の確 398

Web Interfaceを使したデプロイ 400

セキュアネットワークでのWeb Interfaceの展開 401

DMZでの Citrix Gatewayと並してWebインターフェイスを展開する 402

DMZでの Citrix Gatewayの背後にあるWebインターフェイスの展開 402

Web Interfaceサイトの動作設定 403

Web Interfaceの機能 403

Web Interfaceのサイトのセットアップ 404

Web Interface 54サイトの作成 404

Citrix Web Interface管理コンソールを使したサイトの構成 406

Web Interface54での Citrix Gateway設定の構成 406



単のサイトへの Citrix Virtual Apps and Desktopsの追加 411


Citrix Gateway 130

Citrix Gatewayを介したユーザー接続のルーティング 412

Web Interfaceとの通信の設定 413

公開アプリケーションおよびデスクトップのポリシーの構成 414

公開アプリケーションウィザードによる設定の構成 415

Citrix Gatewayでの Secure Ticket Authorityの構成 416

Citrix Gatewayでの追加のWeb Interface設定の構成 417

Web Interfaceフェールオーバーの設定 417

Web Interfaceを使したスマートカードアクセスの構成 418

Web Interfaceでのアプリケーションおよび Virtual Desktopsへのアクセスの構成 419

SmartAccess設定 421

Citrix Virtual Apps and Desktopsでの SmartAccessのしくみ 422

Citrix Virtual Appsポリシーとフィルターの構成 423

SmartAccessのセッションポリシーを構成するには 424

Citrix Virtual Appsでのユーザーデバイスマッピングの構成 424

Citrix XenApp 65で制限ポリシーを構成するには 425


隔離アクセス法としての Citrix Virtual Apps有効化 426

隔離グループのセッションポリシーおよびエンドポイント分析スキャンの作成 427

SmartAccessの Citrix Virtual Desktopsの構成 428

Citrix Virtual Desktopsを使した SmartAccessのセッションポリシーを構成するには 428

Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5 429

デスクトップ Delivery Controllerを STAとして追加するには 430

スマートコントロールの設定 430

Web Interfaceへのシングルサインオンの設定 448


Citrix Gateway 130

Webアプリケーションへのシングルサインオンをグローバルに設定するには 449

セッションポリシーを使してWebアプリケーションへのシングルサインオンを構成するには 449

WebアプリケーションへのシングルサインオンのHTTPポートを定義するには 450

その他の設定時の注意事項 450

Web Interfaceへのシングルサインオン接続をテストするには 451

スマートカードを使したWeb Interfaceへのシングルサインオンの構成 451

スマートカードを使してシングルサインオンにクライアント証明書を構成するには 453

Citrix Virtual Appsファイル共有のシングルサインオンを構成するには 453

ファイルタイプの関連付けの許可 454

Web Interfaceサイトの作成 455

ファイルタイプの関連付けのための Citrix Gatewayの構成 456


Citrix Gatewayと StoreFrontの統合 458

Citrix Endpoint Management環境の設定の構成 461

Citrix Endpoint Managementまたは Citrix XenMobileサーバーの負荷分散サーバーの構成 464

電メールセキュリティフィルタリングを使したMicrosoft Exchangeのロードバランシングサーバーの構成 466

Citrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSyncフィルタリングの構成 467

Citrixモバイル産性アプリを使したモバイルデバイスからのアクセスの許可 467

Citrix Endpoint Managementのためのドメインおよびセキュリティトークン認証の構成 474

クライアント証明書またはクライアント証明書およびドメイン認証の設定 476

CloudBridgeによるネットワークトラフィックの最適化 478

Gateway UX設定での RfWebUIパーソナ 479

RDPプロキシ 482


Citrix Gateway 130

ステートレス RDPプロキシ 490

RDP接続リダイレクト 495

LDAP属性に基づいて RDP URLを設定する 496

RDPプロキシを使して RDPファイル名をランダム化する 497

RDPアプリのファイル名を構成する 498

Citrix Gatewayが VMwareホライゾンビューに対して PCoIPプロキシサポートを有効にしました 499

VMWare Horizonビューの Citrix Gatewayが有効になっている PCoIPプロキシの構成 500

VMware Horizon View接続サーバの構成 504

HDX対応のデータ転送サポート 504

Enlightened Data Transportサポートを使するタイミング 505

EDTおよびHDX Insightをサポートするように Citrix Gatewayを構成 505

L7遅延しきい値 509

Microsoft Intune統合 513

統合 Intune MDMソリューションを使するタイミング 514

Citrix Gatewayと Intune MDMの統合について 514

単要素ログインの Citrix Gateway仮想サーバーのネットワークアクセス制御デバイスチェックの構成 515

Azure ADALトークン認証について 518

Microsoft ADALトークン認証の Citrix Gateway仮想サーバーの構成 518

Microsoftエンドポイントマネージャーでマイクロ VPNを使するための Citrix Gatewayのセットアップ 520

UDPトラフィックに対するサービスサポートのタイプ 525

Citrix Gatewayでのアウトバウンドプロキシのプロキシ動構成サポート 525

アウトバウンド ICAプロキシのサポート 526

アウトバウンド ICAプロキシの構成 527



Citrix Gateway 130

認証のネイティブOTPサポート 529

OTPのプッシュ通知 538

サーバ名表拡張の設定 544

SSLハンドシェイク中のサーバー証明書の検証 544

アドバンスポリシーを使した VPNポリシーの作成 545

テンプレートを使した簡略化された SaaSアプリケーション設定 548

EPAコンポーネントとしての nFactorでのデバイス証明書 556


Citrix Gateway 130

Citrix Gatewayのリリースノート

March 26 2020

リリースノートでは特定のビルドでソフトウェアがどのように変更されたかおよびそのビルドに存在することがわかっている問題について説明します

リリースノートドキュメントには次のセクションのすべてまたは部が含まれています

bull 新機能ビルドでリリースされた拡張機能やその他の変更bull 修正された問題ビルドで修正される問題bull 既知の問題ビルドに存在する問題bull 注ビルドを使する際に留意すべき重要な側bull 制限事項ビルドに存在する制限事項

注

bull 問題の説明の下の [ XXXXXX]ラベルはCitrix ADCチームが使する内部トラッキング IDです

bull これらのリリースノートにはセキュリティ関連の修正は記載されていませんセキュリティに関する修正とアドバイスの覧についてはCitrixセキュリティ情報を参照してください

最新のリリースノートのドキュメントを表するにはリリースノートページを参照してください

コピー完了Failed

Citrix Gatewayについて

April 9 2020

Citrix Gatewayは導が容易で管理も簡単です最も般的な展開構成はDMZ内に Citrix Gatewayアプライアンスを配置することです複数の Citrix Gatewayアプライアンスをネットワークにインストールすることでより複雑な展開環境を実現できます

Citrix Gatewayを初めて起動するときはシリアルコンソール構成ユーティリティのセットアップウィザードまたは動的ホスト構成プロトコル（DHCP）を使して初期構成を実できますMPXアプライアンスではアプライアンスの前パネルにある LCDキーパッドを使して初期構成を実できますIPアドレスサブネットマスクデフォルト Gateway IPアドレスドメインネームシステム (DNS)アドレスなど内部ネットワークに固有の基本設定を構成できます基本的なネットワーク設定を構成したら認証承認ネットワークリソース仮想サーバーセッションポリシーエンドポイントポリシーのオプションなどCitrix Gatewayの操作に固有の設定を構成します

Citrix Gatewayをインストールして構成する前にこのセクションのトピックを参照して展開を計画してください導計画にはアプライアンスのインストール場所の決定DMZへの複数のアプライアンスのインストール法


Citrix Gateway 130

の理解およびライセンス要件が含まれますCitrix Gatewayはセキュリティで保護されたネットワークで実されている既存のハードウェアやソフトウェアを変更することなくあらゆるネットワークインフラストラクチャにインストールできますCitrix GatewayはサーバーロードバランサーキャッシュエンジンファイアウォールルーターIEEE 80211ワイヤレスデバイスなど他のネットワーク製品と連携します

Citrix Gatewayを構成する前にインストール前のチェックリストに設定を書き込むことができます

Citrix Gatewayアプライアンス Citrix Gatewayアプライアンスおよびアプライアンスのインストール順について説明します

インストール前のチェックリストネットワークに Citrix Gatewayをインストールする前に確認する計画情報と完了する必要のあるタスクの覧をします

般的な展開ネットワーク DMZへの Citrix Gatewayの導DMZのない安全なネットワークへの展開および負荷分散とフェイルオーバーをサポートする追加のアプライアンスに関する情報を提供しますまたCitrixVirtual Apps and Desktopsを使した CitrixGatewayの展開についても説明します

ライセンスアプライアンスへのライセンスのインストールに関する情報を提供しますまた複数の Citrix Gatewayアプライアンスへのライセンスのインストールについても説明します


Citrix Gatewayアーキテクチャ

April 9 2020

Citrix Gatewayのコアコンポーネントは次のとおりです

bull 仮想サーバCitrix Gateway仮想サーバーはユーザーが利できるすべての構成済みサービスを代表する内部エンティティです仮想サーバはユーザがこれらのサービスにアクセスするためのアクセスポイントでもあります1つのアプライアンスに複数の仮想サーバーを構成して1つの Citrix Gatewayアプライアンスが異なる認証およびリソースアクセス要件を持つ複数のユーザーコミュニティにサービスを提供できるようにすることができます


Citrix Gateway 130

bull 認証認可アカウンティング認証承認アカウンティングを構成するとCitrix Gatewayまたは LDAPや RADIUSなどの安全なネットワークにある認証サーバーが認識する資格情報を使してユーザーが CitrixGatewayにログオンできるようになります承認ポリシーはユーザーのアクセス許可を定義し特定のユーザーがアクセスを許可するリソースを決定します認証と認可の詳細については認証と承認を参照してくださいアカウンティングサーバーはユーザーログオンイベントリソースアクセスインスタンス操作エラーなどCitrix Gatewayアクティビティに関するデータを保持しますこの情報はCitrix Gatewayまたは外部サーバーに保存されますアカウンティングの詳細については「Citrix Gatewayでの監査の構成」を参照してください

bull ユーザー接続ユーザーは次のアクセス法を使して Citrix Gatewayにログオンできます

ndash Windowsの Citrix GatewayプラグインはWindowsベースのコンピュータにインストールされるソフトウェアですユーザーはWindowsベースのコンピューター上の通知領域のアイコンを右クリックしてログオンしますCitrix Gatewayプラグインがインストールされていないコンピューターを使している場合はWebブラウザーを使してログオンしプラグインをダウンロードしてインストールできますユーザーが Citrix Workspaceアプリをインストールしている場合ユーザーは Citrix Workspaceアプリから Citrix Gatewayプラグインを使してログオンしますCitrixWorkspaceアプリと Citrix Gatewayプラグインがユーザーデバイスにインストールされている場合Citrix Workspaceアプリは動的に Citrix Gatewayプラグインを追加します

ndash Mac OS Xを実しているユーザーがログオンできるようにするMac OS Xの Citrix GatewayプラグインこれはWindowsの Citrix Gatewayプラグインと同じ機能と機能を備えていますCitrix ADC Gatway 101ビルド 1201316eをインストールすることでこのプラグインバージョンのエンドポイント分析のサポートを提供できます

ndash Java Citrix GatewayプラグインMac OS XLinuxおよびオプションでWindowsユーザーがWebブラウザーを使してログオンできるようにします

ndash Web Interfaceまたは Citrix StoreFrontを使してサーバーファーム内の公開アプリケーションおよび仮想デスクトップへのユーザー接続を許可する Citrix Workspaceアプリ

ndash Citrix WorkspaceアプリSecure HubWorxMailおよび WorxWebを使してユーザーがWebアプリケーションSaaSアプリケーションiOSおよび Androidモバイルアプリおよび CitrixEndpoint Managementでホストされている ShareFileデータにアクセスできます

ndash ユーザーはCitrix GatewayのWebアドレスを使する Androidデバイスから接続できますユーザーがアプリを起動すると接続はMicro VPNを使してネットワークトラフィックを内部ネットワークにルーティングしますユーザーが Androidデバイスから接続する場合はCitrix GatewayでDNS設定を構成する必要があります詳しくは「Androidデバイスで DNSサフィックスを使したDNSクエリのサポート」を参照してください

ndash ユーザーはCitrix GatewayのWebアドレスを使する iOSデバイスから接続できますSecureBrowseはグローバルまたはセッションプロファイルで構成しますユーザーが iOSデバイスでアプリを起動するとVPN接続が開始されCitrix Gateway経由で接続がルーティングされます


Citrix Gateway 130

ndash クライアントレスアクセスユーザーデバイスにソフトウェアをインストールしなくても必要なアクセスをユーザーに提供します

Citrix Gatewayを構成するときにポリシーを作成してユーザーのログオン法を設定できますセッションおよびエンドポイントの分析ポリシーを作成してユーザーのログオンを制限することもできます

bull ネットワークリソースこれにはファイルサーバーアプリケーションWebサイトなどユーザーがCitrix Gateway経由でアクセスするすべてのネットワークサービスが含まれます

bull 仮想アダプタCitrix Gateway仮想アダプタはIPスプーフィングを必要とするアプリケーションをサポートします仮想アダプタはCitrix Gatewayプラグインのインストール時にユーザーデバイスにインストールされますユーザーが内部ネットワークに接続するとCitrix Gatewayと内部サーバー間の送信接続ではイントラネット IPアドレスが送信元 IPアドレスとして使されますCitrix Gatewayプラグインは構成の部としてサーバーからこの IPアドレスを受け取ります

Citrix Gatewayで分割トンネリングを有効にするとすべてのイントラネットトラフィックが仮想アダプタ経由でルーティングされますイントラネットにバインドされたトラフィックを代受信する場合仮想アダプタは Aおよび AAAAレコードタイプ DNSクエリーをインターセプトしその他すべての DNSクエリーはそのまま残します内部ネットワークにバインドされていないネットワークトラフィックはユーザーデバイスにインストールされているネットワークアダプタを介してルーティングされますインターネットおよびプライベートローカルエリアネットワーク (LAN)接続は開いたままであり接続されたままです分割トンネリングを無効にするとすべての接続が仮想アダプタを介してルーティングされます既存の接続はすべて切断されユーザーはセッションを再確する必要があります

イントラネット IPアドレスを構成すると内部ネットワークへのトラフィックは仮想アダプタを介してイントラネット IPアドレスでスプーフィングされます


ユーザー接続の仕組み

March 26 2020

ユーザーはリモートロケーションから分の電メールファイル共有およびその他のネットワークリソースに接続できますユーザーは次のソフトウェアを使して内部ネットワークリソースに接続できます

bull Citrix Gatewayプラグインbull Citrix Workspaceアプリbull WorxMailおよびWorxWebbull Androidと iOSのモバイルデバイス


Citrix Gateway 130

Citrix Gatewayプラグインを使した接続

Citrix Gatewayプラグインを使すると次の順で内部ネットワークのリソースにユーザーがアクセスできます

1 ユーザーはWebブラウザーでWebアドレスをして Citrix Gatewayに初めて接続しますログオンページが表されユーザー名とパスワードをするよう求められます外部認証サーバーが構成されている場合Citrix Gatewayはサーバーに接続し認証サーバーはユーザーの資格情報を確認しますローカル認証が構成されている場合Citrix Gatewayはユーザー認証を実します

2 事前認証ポリシーを構成する場合ユーザーがWindowsベースのコンピューターまたはMac OS XコンピューターのWebブラウザーで Citrix GatewayのWebアドレスをするとログオンページが表される前にクライアントベースのセキュリティポリシーが設定されているかどうかが Citrix Gatewayによって確認されますセキュリティチェックではオペレーティングシステムの更新ウイルス対策保護適切に構成されたファイアウォールなどユーザーデバイスがセキュリティ関連の条件を満たしていることを確認しますユーザーデバイスがセキュリティチェックに失敗した場合Citrix Gatewayはユーザーのログオンをブロックしますログオンできないユーザーは必要な更新プログラムまたはパッケージをダウンロードしユーザーデバイスにインストールする必要がありますユーザーデバイスが事前認証ポリシーを通過するとログオンページが表されユーザーは分の資格情報をできますCitrix Gateway 101ビルド 1201316eをインストールする場合はMac OS Xコンピューターで度なエンドポイント分析を使できます

3 Citrix Gateway がユーザーの認証に成功するとVPN トンネルが開始されますCitrix Gateway ではWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインをダウンロードしてインストールするように求められますJavaの Network Gatewayプラグインを使している場合はユーザーデバイスも事前に構成されたリソース IPアドレスとポート番号のリストで初期化されます

4 認証後のスキャンを構成するとユーザーが正常にログオンするとCitrix Gatewayはユーザーデバイス上で必要なクライアントセキュリティポリシーをスキャンします事前認証ポリシーと同じセキュリティ関連の条件を要求できますユーザーデバイスがスキャンに失敗した場合ポリシーが適されないかユーザーが検疫グループに配置されユーザーのネットワークリソースへのアクセスが制限されます

5 セッションが確されるとユーザーは Citrix Gatewayのホームページにリダイレクトされユーザーはアクセスするリソースを選択できますCitrix Gatewayに含まれているホームページをアクセスインターフェイスと呼びますユーザーがWindowsの Citrix Gatewayプラグインを使してログオンするとWindowsデスクトップの通知領域にアイコンが表されユーザーが接続されていることをすメッセージがユーザーに表されますまたユーザーはMicrosoft Outlookを開いたり電メールを取得したりするなどアクセスインターフェイスを使せずにネットワーク上のリソースにアクセスすることもできます

6 ユーザー要求が事前認証と認証後の両のセキュリティチェックに合格した場合Citrix Gatewayは要求されたリソースに接続しユーザーデバイスとそのリソース間の安全な接続を開始します

7 ユーザーはWindowsベースのコンピューターの通知領域で Citrix Gatewayアイコンを右クリックし［ログオフ］をクリックするとアクティブなセッションを閉じることができますセッションはアクティブが原因でタイムアウトすることもありますセッションが閉じられるとトンネルはシャットダウンされユーザは内部リソースにアクセスできなくなりますユーザーはブラウザーで Citrix GatewayのWebアドレスをすることもできますユーザーが Enterキーを押すとユーザーがログオフできるアクセスインターフェイスが表されます


Citrix Gateway 130

注内部ネットワークに Citrix Endpoint Managementを展開する場合は内部ネットワークの外部から接続するユーザーが最初に Citrix Gatewayに接続する必要がありますユーザーが接続を確するとユーザーはWebアプリケーションおよび SaaSアプリケーションAndroidおよび iOSモバイルアプリおよび Citrix EndpointManagementでホストされている ShareFileデータにアクセスできますユーザーはクライアントレスアクセスまたは Citrix Workspaceアプリまたは Secure Hubを使してCitrix Gatewayプラグインを使して接続できます

Citrix Workspaceアプリとの接続

ユーザーはCitrix Workspaceアプリに接続してWindowsベースのアプリケーションと仮想デスクトップにアクセスできますユーザーはEndpoint Managementからアプリケーションにアクセスすることもできますリモートの場所から接続するにはCitrix GatewayプラグインもデバイスにインストールしますCitrix WorkspaceアプリはCitrix Gatewayプラグインをプラグインの覧に動的に追加しますユーザーはCitrix WorkspaceアプリにログオンするときにCitrix Gatewayプラグインにもログオンできますまたユーザーが Citrix GatewayWorkspaceアプリにログオンするときにCitrix Gatewayプラグインへのシングルサインオンを実するようにCitrix Gatewayを構成することもできます

iOSデバイスと Androidデバイスとの接続

ユーザーはSecure Hubを使して iOSまたは Androidデバイスから接続できますユーザーはSecure Mailを使して電メールにアクセスしWorxWebを使してWebサイトに接続できます

ユーザーがモバイルデバイスから接続する場合接続は Citrix Gatewayを介して内部リソースにアクセスしますユーザーが iOSに接続する場合はセッションプロファイルの部として「Secure Browse」を有効にしますユーザーが Androidで接続する場合接続は動的にマイクロ VPNを使しますさらにSecure Mail と WorxWeb はマイクロ VPN を使して Citrix Gateway を介して接続を確しますCitrixGatewayでマイクロ VPNを構成する必要はありません


般的な展開

April 9 2020

組織の内部ネットワーク（またはイントラネット）の境界に Citrix Gatewayを展開して内部ネットワークに存在するサーバーアプリケーションおよびその他のネットワークリソースへの安全な単アクセスポイントを提供できますすべてのリモートユーザーは内部ネットワーク上のリソースにアクセスする前にCitrix Gatewayに接続する必要があります


Citrix Gateway 130

Citrix Gatewayは通常ネットワーク内の次の場所にインストールされます

bull ネットワーク DMZでbull DMZltを持たないセキュアなネットワークの場合

またCitrix Virtual AppsCitrix Virtual DesktopsStoreFrontおよび Citrix Endpoint Managementを使して Citrix Gatewayを展開してユーザーがWindowsWebモバイルSaaSアプリケーションにアクセスできるようにすることもできます展開環境に Citrix Virtual AppsStoreFrontデスクトップ 7が含まれている場合はシングルホップまたはダブルホップの DMZ構成で Citrix Gatewayを展開できますダブルホップ展開は以前のバージョンの Citrix Virtual Desktopsまたは Citrix Endpoint Managementではサポートされません

これらの Citrix ソリューションおよびサポートされているその他の Citrix ソリューションを使して CitrixGatewayインストールを拡張する法の詳細についてはCitrix製品との統合トピックを参照してください


DMZでのデプロイ

March 26 2020

多くの組織はDMZを使して内部ネットワークを保護しますDMZは組織の安全な内部ネットワークとインターネット (または任意の外部ネットワーク)の間にあるサブネットですDMZに Citrix Gatewayを展開するとユーザーは Citrix Gatewayプラグインまたは Citrix Workspaceアプリを使して接続します

図 1DMZにデプロイされた Citrix Gateway

前の図にす構成ではDMZに Citrix Gatewayをインストールしインターネットと内部ネットワークの両に接続するように構成します

DMZでの Citrix Gateway接続

DMZに Citrix Gatewayを展開する場合ユーザー接続は最初のファイアウォールを通過して Citrix Gatewayに接続する必要がありますデフォルトではユーザー接続はポート 443で SSLを使してこの接続を確します内部ネットワークへのユーザー接続を許可するには最初のファイアウォールを介してポート 443で SSLを許可する必要があります

Citrix Gatewayはユーザーデバイスからの SSL接続を復号化しユーザーの代わりに 2番のファイアウォールの背後にあるネットワークリソースへの接続を確します2番のファイアウォールを介して開く必要があるポートは外部ユーザーにアクセスを許可するネットワークリソースによって異なります

たとえば外部ユーザに内部ネットワーク内のWebサーバへのアクセスを許可しこのサーバがポート 80でHTTP接続をリッスンする場合ポート 80で HTTPを 2番のファイアウォール経由で許可する必要がありますCitrix


Citrix Gateway 130

Gatewayは外部ユーザーデバイスの代わりに2番のファイアウォールを経由して内部ネットワーク上のHTTPサーバーへの接続を確します


セキュリティで保護されたネットワークでの展開

March 26 2020

Citrix Gatewayはセキュリティで保護されたネットワークにインストールできますこのシナリオでは1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にありますCitrix Gatewayはネットワークリソースへのアクセスを制御するためにファイアウォール内に存在します

図 1セキュアなネットワークにデプロイされた Citrix Gateway

Citrix Gatewayをセキュリティで保護されたネットワークに展開する場合はCitrix Gateway上の 1つのインターフェイスをインターネットに接続しもう 1つのインターフェイスをセキュリティで保護されたネットワークで実されているサーバーに接続しますCitrix Gatewayを安全なネットワークに置くとローカルユーザーおよびリモートユーザーにアクセスできるようになりますただしこの構成にはファイアウォールが 1つしかないためではリモートロケーションから接続するユーザに対する配置の安全性が低下しますCitrix Gatewayはインターネットからのトラフィックを傍受しますがトラフィックはセキュリティで保護されたネットワークにってからユーザーを認証しますCitrix Gatewayを DMZに展開するとネットワークトラフィックが安全なネットワークに到達する前にユーザーが認証されます

Citrix Gatewayをセキュアなネットワークに展開する場合Citrix Gatewayプラグイン接続はファイアウォールを通過して Citrix Gatewayに接続する必要がありますデフォルトではユーザー接続はポート 443で SSLプロトコルを使してこの接続を確しますこの接続をサポートするにはファイアウォールでポート 443を開く必要があります


クライアントソフトウェアの要件

March 26 2020

このセクションではCitrix Gatewayクライアントソフトウェアのシステム要件について説明します

Citrix GatewayではCitrix Gatewayプラグインを使したユーザー接続がサポートされますユーザーがプラグインを使してログオンすると完全な VPNトンネルが確されますCitrix Gatewayプラグインを使すると


Citrix Gateway 130

ユーザーはアクセスを許可するネットワークリソースに接続して操作できます

Citrix Gatewayでエンドポイントポリシーを構成する場合ユーザーがログオンするとCitrix Gatewayによってエンドポイント分析プラグインが動的にダウンロードされユーザーデバイスにインストールされます


Citrix Gatewayプラグインのシステム要件

March 26 2020

Citrix Gatewayプラグインはクライアントマシンから Citrix Gatewayアプライアンスへの安全な接続を確します

このプラグインはMicrosoft WindowsmacOS Xおよび Linuxオペレーティングシステムのデスクトップアプリとして配布されますWebブラウザで Citrix Gatewayアプライアンスのセキュアな URLを認証するとプラグインがダウンロードされマシンに動的にインストールされます

プラグインはAndroidおよび iOSデバイスのモバイルアプリとしてプロビジョニングされます

注プラグインをインストールするにはオペレーティングシステムで admin権限または root権限が必要です

デスクトップアプリケーションとしての Citrix Gatewayプラグインは以下のオペレーティングシステムとWebブラウザーでサポートされています

オペレーティングシステムサポートされているブラウザー

macOS X (109以降) Safari 71以降Google Chrome Release 30以降Mozilla Firefox Release 30以降

Windows 10 (x86および x64) Internet Explorer 11Google Chrome Release30以降Mozilla Firefox Release 24以降EdgeChromium

Windows 81 Internet Explorer 11Google Chrome Release30以降Mozilla Firefox Release 24以降EdgeChromium

Windows 8 Internet Explorer 9および 10Google ChromeRelease 30以降Mozilla Firefox Release 24以降Edge Chromium

Windows 7 Internet Explorer 91011Google ChromeRelease 30以降Mozilla Firefox Release 24以降Edge Chromium


Citrix Gateway 130


LinuxUbuntu 1804 LTS1604 LTS1404 LTS1204 LTS 32ビットおよび 64ビットOSがサポートされています

Mozilla Firefox Release 44以降Google Chrome50以降

重要Ubuntu 1604 LTSのバグ（1573408）によりVPNプラグインのインストールが失敗します同じ場合の回避策は次のようにリストされます

コマンドラインインターフェイスを使して次のコマンドをします

1 sudo dpkg -i nsgclientdeb

必要な依存関係パッケージがつからない場合コマンドはそれらを覧表しプラグインのインストールは失敗しますこれらの依存関係パッケージは動でインストールする必要があります管理者はコマンドラインインターフェイスを使して次のコマンドをして不しているパッケージをインストールできます

1 apt-get install ltdependency packagegt

モバイルアプリとしての Citrix Gatewayプラグインは以下のオペレーティングシステムでサポートされています

VPNアプリサポートされるオペレーティングシステム

Android Android 41以降

iOS iOS 8以降


エンドポイント分析の要件

March 26 2020

Citrix Gatewayがユーザーデバイスにエンドポイント分析プラグインをインストールするとプラグインによってユーザーデバイスがスキャンされCitrix Gatewayで設定したエンドポイントのセキュリティ要件が確認されます要件にはオペレーティングシステムウイルス対策Webブラウザーのバージョンなどの情報が含まれます

Windowsユーザーがブラウザを使して Citrix Gatewayに初めて接続する場合ポータルはエンドポイント分析プラグインのインストールを要求しますその後のログオン試時にプラグインはアップグレード制御構成をチェ


Citrix Gateway 130

ックしクライアントエンドポイント分析プラグインのアップグレードが必要かどうかを判断します必要であれば新しい Endpoint Analysisプラグインをダウンロードしてインストールするかどうかを確認するメッセージが表されますWindowsエンドポイント分析プラグインはWindows 32ビットアプリケーションとしてインストールされますインストールまたは使に特別な権限は必要ありません

Mac OS Xの場合ユーザーはエンドポイント分析プラグインをインストールする必要がありますMac OS Xのプラグインは32ビットアプリケーションとしてインストールされますインストールに特別な権限は必要ありませんその後のログオン試時にプラグインのバージョンが致しない場合プラグインをダウンロードしてインストールするように求められます

Endpoint Analysisプラグインを使するにはユーザーデバイスに以下のソフトウェアが必要です

|オペレーティングシステム |サポートされているブラウザー ||ndash|ndash||Mac OS X (109以降)|Safari 71以降Google Chrome Release 30以降Mozilla Firefox Release 30以降 ||Windows 10|Internet Explorer 11Google Chrome Release 30 以降Mozilla Firefox Release 24 以降Microsoft Edgeはサポートされません||Windows 81|Internet Explorer 11Google Chrome Release 30以降Mozilla Firefox Release 24以降 ||Windows 8|Internet Explorer 9および 10Google Chrome Release 30以降Mozilla Firefox Release 24以降 ||Windows 7|Internet Explorer 9 および 10 および 11Google Chrome Release 30 以降Mozilla FirefoxRelease 24以降 ||Windows Vista|Internet Explorer 9 Mozilla Firefox Release 9および 10||Linux Ubuntu 1204 LTS1404 LTS1604 LTS注32ビットおよび 64ビットOSがサポートされています|Mozilla Firefox Release 44以降Google Chrome50以降 |

注 1 上記のオペレーティングシステムバリアントのすべてのエディションがサポートされています

注 2 Windowsエディションではすべてのサービスパックと重要な更新プログラムをインストールする必要があります

注 3 Internet Explorerのバージョンではクッキーを有効にする必要があります最低限必要なバージョンは 70です

注 4 Mozilla Firefoxのバージョンではエンドポイント分析はプラグインを有効にする必要があり最低限必要なバージョンは 30です

重要認証前エンドポイント分析の場合ユーザーがユーザーデバイスに Endpoint Analysisプラグインをインストールしていない場合またはスキャンをスキップした場合ユーザーは Citrix Gatewayプラグインを使してログオンできません認証後のエンドポイント分析の場合ユーザーはクライアントレスアクセスまたは CitrixWorkspaceアプリを使してスキャンが不要なリソースにアクセスできます



Citrix Gateway 130

Citrix製品との互換性

March 26 2020

次の表にCitrix製品および Citrix Gateway 130と互換性があるバージョンをします

注 Citrix Gatewayの機能はCitrix ADC VPXで使できます

Citrix製品とサポートされているバージョン

Citrix製品リリースバージョン

Citrix SD-WAN 102 110

Citrix ADC ADCプラットフォーム FIPS準拠のアプライアンスを含む現在のすべてのMPXおよび VPXモデル

StoreFront 38 39 310 311 312 313 314 315

Web Interface 54

Citrix Virtual Apps and Desktops 76 712 713 714 715 716 717 718

XenMobile 105 106 107 108 109 1010 1011 1012

注 Citrix XenApp 65がサポートされています

Citrix WorkspaceアプリCitrixモバイル産性アプリおよびプラグイン

Citrix Workspaceアプリまたはプラグインサポートされる最バージョン

Citrix Gatewayプラグイン (macOS X) 318

Windows向け Citrix Gatewayプラグイン 120

iOS Citrix Gatewayプラグイン 314

Android向け Citrix Gatewayプラグイン 2014

Android向け Citrix Workspaceアプリ 311

iOS向け Citrix Workspaceアプリ 713

Mac向け Citrix Workspaceアプリ 124

Windows向け Citrix Workspaceアプリ 44

Linux向け Citrix Workspaceアプリ 134


Citrix Gateway 130


HTML5向け Citrix Workspaceアプリ 23

Chrome Citrix Workspaceアプリ 23

Secure Hub for iOS 105

Secure Hub for Android 105

Secure Mail for iOS 105

SecureWeb for iOS 105

Secure Mail for Android 105

SecureWeb for Android 105

WindowsGatewayプラグインでサポートされる Citrix Gateway機能

Citrix Gateway 130ビルド 3627以降では以下の機能がサポートされています

bull デバイスガードのサポートbull nファクターのサポートbull Opswat v4のサポートbull SAMLのサポートbull AlwaysOnオンサービス


ライセンス

March 26 2020

Citrix Gatewayを展開してユーザー接続をサポートするにはアプライアンスのライセンスを適切に取得する必要があります

重要受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことをお勧めします構成ファイルのバックアップコピーを保存するとアップロードしたすべてのライセンスファイルもバックアップに含まれますCitrix Gatewayアプライアンスソフトウェアを再インストールする必要があり構成のバックアップがない場合は元のライセンスファイルが必要になります

Citrix Gatewayにライセンスをインストールする前にアプライアンスのホスト名を設定してからCitrix Gatewayを再起動してくださいセットアップウィザードを使してホスト名を構成しますCitrix Gatewayのユニバーサルライセンスを成するとホスト名がそのライセンスで使されます


Citrix Gateway 130


Citrix Gatewayのライセンスの種類

March 26 2020

Citrix Gatewayにはプラットフォームライセンスが必要ですプラットフォームライセンスではICAプロキシを使して Citrix Virtual AppsCitrix Virtual Desktopsまたは StoreFrontへの無制限の接続が可能ですCitrixGatewayプラグインSmartAccessログオンポイントまたは Secure HubWorxWebまたは Secure Mailからの VPN接続を許可するにはユニバーサルライセンスも追加する必要がありますCitrix Gateway VPXにはプラットフォームライセンスが付属しています

プラットフォームライセンスは以下の Citrix Gatewayバージョンでサポートされています

bull Citrix Gateway 130bull Citrix Gateway 121bull NetScaler Gateway 120bull NetScaler Gateway 111bull NetScaler Gateway 110bull NetScaler Gateway 105bull NetScaler Gateway 101bull Access Gateway 10bull Citrix ADC VPX

重要受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことをお勧めします構成ファイルのバックアップコピーを保存するとアップロードされたすべてのライセンスファイルがバックアップに含まれますCitrix Gatewayアプライアンスソフトウェアを再インストールする必要があり構成のバックアップがない場合は元のライセンスファイルが必要です

プラットフォームライセンス

プラットフォームライセンスではCitrix Virtual Apps上の公開アプリケーションまたは Citrix Virtual Desktopsからの仮想デスクトップへの無制限のユーザー接続が可能ですCitrix Workspaceアプリを使した接続ではCitrix Gatewayユニバーサルライセンスは使されませんこれらの接続に必要なのはプラットフォームライセンスのみですプラットフォームライセンスは物理ライセンスと仮想ライセンスにかかわらず新しい CitrixGatewayのすべての注とともに電的に提供されます保証契約または保守契約の対象となるアプライアンスをすでに所有している場合はシトリックスWebサイトからプラットフォームライセンスを取得できます


Citrix Gateway 130

重要プラットフォームライセンスに基づき次の数のユニバーサルライセンスが含まれています

bull スタンダードエディションmdash 500bull アドバンスドエディションmdash 1000bull プレミアムmdash無制限

ユニバーサルライセンス

ユニバーサルライセンスでは同時ユーザーセッションの数は購したライセンス数に制限されます

ユニバーサルライセンスでは次の機能がサポートされています

bull 完全 VPNトンネルbull マイクロ VPNbull エンドポイント解析bull ポリシーベースの SmartAccessbull Webサイトやファイル共有へのクライアントレスアクセス

Standardエディションのライセンスを購するといつでも 500の同時セッションを持つことができますユーザーがセッションを終了するとそのライセンスは次のユーザーのために解放されます複数のコンピューターからCitrix Gatewayにログオンするユーザーはセッションごとにライセンスを占有します

すべてのライセンスが使されている場合ユーザーがセッションを終了するかセッションを終了するまで追加の接続を開くことはできません接続が閉じられるとライセンスが解放され新しいユーザーが使できるようになります

Citrix Gatewayアプライアンスを受け取るとライセンスは次の順序でわれます

bull ライセンス認証コード (LAC)が電メールで送信されますbull セットアップウィザードを使してホスト名で Citrix Gatewayを構成しますbull Citrixのウェブサイトから Citrix Gatewayのライセンスを割り当てますホスト名を使して割り当てプロセス中にライセンスをアプライアンスにバインドします

bull ライセンスファイルはCitrix Gatewayにインストールします

ユニバーサルライセンスの詳細についてはCitrix Gatewayユニバーサルライセンスを参照してください


プラットフォームまたはユニバーサルライセンスファイルの

March 26 2020


Citrix Gateway 130

Citrix GatewayをインストールするとCitrixからプラットフォームまたはユニバーサルライセンスファイルをできますCitrixのWebサイトにログオンして使可能なライセンスにアクセスしライセンスファイルを成しますライセンスファイルが成されたらコンピュータにダウンロードしますライセンスファイルがコンピューター上に存在したらCitrix GatewayにアップロードしますCitrixライセンスサーバーについて詳しくは「Citrixライセンスシステム」を参照してください

ライセンスファイルを取得する前にセットアップウィザードを使してアプライアンスのホスト名を構成してからアプライアンスを再起動してください

重要ライセンスは Citrix Gatewayにインストールする必要がありますアプライアンスはCitrixライセンスサーバーからライセンスを取得しません

ライセンスを取得するにはCitrixライセンスのアクティブ化アップグレード管理Webページに移動しますこのページでは新しいライセンスを取得しCitrixライセンスのライセンス認証アップグレード管理をうことができます


Citrix Gatewayにライセンスをインストールするには

March 26 2020

ライセンスファイルをコンピューターに正常にダウンロードしたらCitrix Gatewayにライセンスをインストールできますライセンスは nsconfiglicenseディレクトリにインストールされます

セットアップウィザードを使して Citrix Gatewayの初期設定を構成した場合ウィザードの実時にライセンスファイルがインストールされますライセンスの部を割り当てた後後で追加番号を割り当てる場合はセットアップウィザードを使せずにライセンスをインストールできます

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム]を展開し[ライセンス]をクリックします

2 詳細ウィンドウで[ライセンスの管理]をクリックします

3 [新しいライセンスの追加]をクリックし[参照]をクリックしてライセンスファイルに移動し[OK]をクリックします

構成ユーティリティにCitrix Gatewayを再起動する必要があるというメッセージが表されます[再起動]をクリックします


Citrix Gateway 130

最ユーザー数を設定するには

アプライアンスにライセンスをインストールしたらアプライアンスに接続できるユーザーの最数を設定する必要がありますグローバル認証ポリシーの最ユーザー数を設定します

1 構成ユーティリティの［構成］タブのナビゲーションペインで Citrix Gatewayを展開し［グローバル設定］をクリックします

2 詳細ペインの [設定]で[認証 AAA設定の変更]をクリックします

3 [最ユーザー数]にユーザーの合計数をし[OK]をクリックします

このフィールドの数字はライセンスファイルに含まれるライセンスの数に対応しますこの数はアプライアンスにインストールされているライセンスの合計数以下である必要がありますたとえば100のユーザライセンスを含む 1つのライセンスと 400のユーザライセンスを含む 2番のライセンスをインストールするとしますライセンスの合計数は 500ですログオンできるユーザーの最数は 500以下です500のユーザーがログオンしている場合その数を超えてログオンしようとするユーザーはユーザーがログオフするかセッションを終了するまでアクセスが拒否されます


ユニバーサルライセンスのインストールの確認

March 26 2020

続する前にユニバーサルライセンスが正しくインストールされていることを確認してください

構成ユーティリティを使してユニバーサルライセンスのインストールを確認するには


［ライセンス］ペインで［Citrix Gateway］の横に緑のチェックマークが表されます［許可される CitrixGatewayユーザーの最数］フィールドにはアプライアンスでライセンスされた同時ユーザーセッションの数が表されます

コマンドラインを使してユニバーサルライセンスのインストールを確認するには

1 PuTTYなどの SSHクライアントを使してアプライアンスへのセキュアシェル（SSH）接続を開きます2 管理者の資格情報を使してアプライアンスにログオンします


Citrix Gateway 130

3 コマンドプロンプトで次のようにしますshow licenseパラメータ SSL VPNが Yesでmaximumusersパラメータがライセンス数に等しい場合ライセンスは正しくインストールされます


よくある質問

March 26 2020

ライセンス

ユニバーサルライセンス (CCU)とは何ですか

ユニバーサルライセンスはCitrix ADCプラットフォームライセンスの上に置かれているアドオンライセンスですこれらのライセンスは次の場合に必要です

ICAセッションの保護

1 SmartAccess

2 SmartControl

3 EPA

SSL VPN

1 すべての SSL VPNユースケース（Unified GatewayCVPNRDPプロキシなど）

2 Portalを有効にするには

新しいライセンスポリシーの変更点は何ですか

ユニバーサルライセンスの価格は以下の通りです

1 0〜 2499のユーザー-1ユーザーあたり 100ドル2 2500以上のユーザー-ユーザー 1あたり 50ドル

以前のパッケージは以下の通りです

1 標準およびアドバンストには 5つのユニバーサルライセンスが含まれています2 プレミアムライセンスには 100個のユニバーサルライセンスが含まれています

変更は次のとおりです

1 標準には 500ライセンスが含まれます


Citrix Gateway 130

2 アドバンストには 1000のライセンスが含まれます3 Premiumには CCU要件はありませんつまりお客様は Premiumの CCUを必要としません

Premium 111以降を購した場合はすべてのユースケースでユニバーサルライセンスを使できます

ユーザー数価格

1-10000 $5

10001-20000 $2

20001+ $15

新しい価格はいつ購者に提供されますか

新しいパッケージは2016年 9 26にリリースされたNS 1114916ビルドに含まれます新しい SKUは 2016年 9 19に公開されます

どのようなバージョンの Citrix ADCが必要ですか

CCUで新しいパッケージをするにはNS 111-4916以降が必要です

既存のお客様はどのようにしてこれをにれるのですか

既存のお客様は新しいパッケージをするには既存の NSバージョンを 11149xxにアップグレードする必要があります

お客様がアップグレードを希望しない場合でSSL VPNにNSを使することを希望する場合は次の点を確認してください

1 Unified Gatewayはアドバンス版またはプレミアム版のみで使できます2 Citrix Virtual Apps and Desktopsプレミアムエディションで CCUを無料で受け取った場合はSSL VPNの CCUを購するか11149xxを実する NSプレミアムエディションを購する必要があります

3 現時点では使シナリオを反映してオンライン EULAが更新されていますそれはここに掲載されますhttpswwwcitrixcombuylicensingproducthtml

4 販売例外プロセスを通じて同じ価格設定を得ることができます

Standardエディションを実しているお客様が 5000ライセンスを購する場合料はいくらですか

お客様が標準エディションを実している場合最初の 500個のユニバーサルライセンスが無料でできます残りの部分は1〜 10000ユーザーに対して 5ドルである新しい価格ごとに課されます


Citrix Gateway 130

同じお客様が戻ってきてさらに 6000ライセンスを購した場合料はいくらですか

お客様が再び 6000ライセンスを購した場合6000ユーザー 1ユーザーあたり 5ドル = 30000ドルになりますこのを 11000ライセンスで使してもメリットは得られません

年間メンテナンスもこの料に課されます


Standard エディションを実している場合は最初の 500 ライセンスが無料でできます残りの場合は10500のユーザー 1ユーザーあたり 2ドル = 21000ドルをお払いいただきます

他のベンダーはどのように課されますかまたお客様に伝えるには何が必要ですか

すべての SSL VPNベンダーはユーザセッションライセンスごとに課されますCitrix社はお客様が CitrixADC Premiumエディションを購する場合ユーザーセッションライセンスごとに課されない唯の企業です

お客様が Citrix Virtual Apps and Desktopsプレミアムエディションで受け取った CCUが 100個ありUnified Gatewayに 100個の CCUを購した場合現在は 200個の CCUがありますか

はい彼らは 200個の CCUを持っていますただしSSL VPNのユースケースには 100個の CCUしか使できませんただしCitrix Virtual Apps and Desktopsのユースケースには 200個の CCUを使できます


はじめに

April 9 2020

Citrix Gatewayをインストールする前にインフラストラクチャを評価し情報を収集して組織の特定のニーズを満たすアクセス戦略を計画する必要がありますアクセス戦略を定義するときはセキュリティへの影響を考慮しリスク分析を完了する必要がありますまたユーザーが接続を許可するネットワークを決定しユーザー接続を有効にするポリシーを決定する必要もあります

ユーザーが使できるリソースの計画に加えて展開シナリオも計画する必要がありますCitrix Gatewayは次の Citrix製品で動作します

bull Citrix Endpoint Managementbull Citrix Virtual Apps


Citrix Gateway 130

bull Citrix Virtual Desktopsbull StoreFrontbull Web Interfacebull CloudBridge

Citrix Gatewayの展開について詳しくは「般的な展開」および「Citrix製品との統合」を参照してください

アクセス戦略を準備する際には次の予備的な順を実します

bull リソースを特定しますWebSaaSモバイルまたは公開アプリケーション仮想デスクトップサービスリスク分析で定義したデータなどアクセスを提供するネットワークリソースを覧表します

bull アクセスシナリオを作成しますユーザーがネットワークリソースにアクセスする法を説明するアクセスシナリオを作成しますアクセスシナリオはネットワークへのアクセスに使される仮想サーバーエンドポイント分析スキャン結果認証タイプまたはその組み合わせによって定義されますまたユーザーがネットワークにログオンする法を定義することもできます

bull クライアントソフトウェアを識別しますCitrix Gatewayプラグインで完全な VPNアクセスを提供しユーザーは Citrix WorkspaceアプリSecure Hubまたはクライアントレスアクセスを使してログオンする必要がありますまたOutlook Web AppまたはWorxMailへの電メールアクセスを制限することもできますこれらのアクセスシナリオはユーザーがアクセス権を取得したときに実できるアクションも決定しますたとえば公開アプリケーションを使するかファイル共有に接続してユーザーがドキュメントを変更できるかどうかを指定できます

bull ポリシーをユーザーグループまたは仮想サーバーに関連付けますCitrix Gatewayで作成するポリシーは個またはユーザーのセットが指定した条件を満たしたときに適されます作成したアクセスシナリオに基づいて条件を決定します次にユーザーがアクセスできるリソースとそれらのリソースに対してユーザーが実できるアクションを制御することによってネットワークのセキュリティを拡張するポリシーを作成しますポリシーは適切なユーザーグループ仮想サーバーまたはグローバルに関連付けます

この項ではアクセス戦略の計画に役つ次のトピックについて説明します

bull セキュリティの計画には認証と証明書に関する情報が含まれますbull 必要なネットワークハードウェアとソフトウェアを定義する前提条件bull Citrix Gatewayを構成する前に設定を書き留めるために使できるインストール前のチェックリスト


セキュリティの計画

March 26 2020

Citrix Gatewayの展開を計画する際には証明書と認証と承認に関連する基本的なセキュリティ上の問題を理解する必要があります


Citrix Gateway 130

セキュアな証明書管理の設定

デフォルトではCitrix Gatewayには署名の SSL（Secure Sockets Layer）サーバー証明書が含まれておりアプライアンスで SSLハンドシェイクを完了できます署名証明書はテストやサンプル展開には適していますが実稼働環境での使はお勧めしませんCitrix Gatewayを本番環境に展開する前に認証局（CA）から署名された SSLサーバー証明書をリクエストして受信しCitrix Gatewayにアップロードすることをお勧めします

Citrix Gatewayを SSLハンドシェイクでクライアントとして動作させる必要のある環境で（別のサーバーとの暗号化された接続を開始する）Citrix Gatewayを展開する場合は信頼されたルート証明書も Citrix Gatewayにインストールする必要がありますたとえばCitrix Virtual AppsおよびWeb Interfaceを使して Citrix Gatewayを展開する場合Citrix GatewayからWeb Interfaceへの接続を SSLで暗号化できますこの構成では信頼されたルート証明書を Citrix Gatewayにインストールする必要があります

認証のサポート

Citrix Gatewayを構成してユーザーを認証しユーザーが内部ネットワーク上のネットワークリソースに対して持つアクセス（または承認）のレベルを制御できます

Citrix Gatewayを展開する前にネットワーク環境に次のいずれかの認証タイプをサポートするディレクトリと認証サーバーを配置する必要があります

bull LDAPbull RADIUSbull TACACS+bull 監査およびスマートカードをサポートするクライアント証明書bull RADIUSを使した RSA構成bull SAML認証

環境が前述のリストの認証タイプをサポートしていない場合またはリモートユーザーの数が少ない場合はCitrixGatewayでローカルユーザーのリストを作成できますその後このローカルリストに対してユーザーを認証するように Citrix Gatewayを構成できますこの設定ではユーザアカウントを別の外部ディレクトリに保存する必要はありません

Citrix Gatewayのデプロイメントを保護する

展開によってはセキュリティに関する考慮事項が異なる場合がありますCitrix ADC安全な展開ガイドラインにはセキュリティに関する般的なガイダンスが記載されていますこのガイドラインは特定のセキュリティ要件に基づいて適切な安全な展開を決定する際に役ちます

詳しくは「Citrix ADC安全な導ガイドライン」を参照してください



Citrix Gateway 130

前提条件

April 9 2020

Citrix Gatewayの設定を構成する前に次の前提条件を確認してください

bull Citrix Gatewayはネットワークに物理的にインストールされネットワークにアクセスできますCitrixGatewayはファイアウォールの内側にある DMZまたは内部ネットワークに展開されますダブルホップDMZで Citrix Gatewayを構成しサーバーファームへの接続を構成することもできますDMZにアプライアンスを展開することをお勧めします

bull Citrix Gatewayはユーザーがネットワーク上のリソースにアクセスできるようにデフォルト Gatewayまたは内部ネットワークへの静的ルートを使して構成しますCitrix Gatewayはデフォルトで静的ルートを使するように構成されています

bull 認証および認可に使される外部サーバが設定され実されています詳しくは「認証と承認」を参照してください

bull ネットワークには適切な Citrix Gatewayユーザー機能を提供するために名前解決のドメインネームサーバー（DNS）またはWindowsインターネットネームサービス（WINS）サーバーがあります

bull Citrix Gatewayプラグインを使してユーザー接続するためのユニバーサルライセンスを Citrix Webサイトからダウンロードしライセンスは Citrix Gatewayにインストールできます

bull Citrix Gatewayには信頼された証明機関（CA）によって署名された証明書があります詳しくは「証明書のインストールと管理」を参照してください

Citrix Gatewayをインストールする前にインストール前のチェックリストを使して設定を書き留めます


インストール前のチェックリスト

April 9 2020

チェックリストはCitrix Gatewayをインストールする前に完了する必要があるタスクと計画情報の覧で構成されています

タスクを完了してメモを作成するときに各タスクをチェックオフできるようにスペースが意されていますインストールプロセス中および Citrix Gatewayの構成中にする必要がある構成値をメモしておくことをお勧めします

Citrix Gatewayのインストールと構成の順についてはCitrix Gatewayのインストールを参照してください


Citrix Gateway 130

ユーザーデバイス

bull ユーザーデバイスがCitrix Gatewayプラグインのシステム要件で説明されているインストールの前提条件を満たしていることを確認します

bull ユーザーが接続するモバイルデバイスを識別します注意ユーザーが iOSデバイスに接続する場合はセッションプロファイルで「Secure Browse」を有効にする必要があります

Citrix Gatewayの基本的なネットワーク接続

アプライアンスの構成を開始する前にライセンスと署名付きサーバー証明書を取得することをお勧めします

bull Citrix Gatewayのホスト名を特定して書き留めます注これは完全修飾ドメイン名 (FQDN)ではありませんFQDNは仮想サーバーにバインドされている署名付きサーバー証明書に含まれています

bull ユニバーサルライセンスをCitrixから取得しますbull 証明書署名要求（CSR）を成し認証局（CA）に送信しますCSRを CAに送信する付をしますbull システム IPアドレスとサブネットマスクを書き留めますbull サブネット IPアドレスとサブネットマスクを書き留めますbull 管理者パスワードを書き留めますCitrix Gatewayに付属するデフォルトのパスワードは nsrootですbull ポート番号を書き留めますこれはCitrix Gatewayがセキュアなユーザー接続をリッスンするポートですデフォルトは TCPポート 443ですこのポートはセキュリティで保護されていないネットワーク（インターネット）と DMZの間のファイアウォール上で開かれている必要があります

bull デフォルト Gatewayの IPアドレスを書き留めますbull DNSサーバの IPアドレスとポート番号を書き留めますデフォルトのポート番号は 53ですさらにDNSサーバーを直接追加する場合はアプライアンスで ICMP (ping)も構成する必要があります

bull 最初の仮想サーバの IPアドレスとホスト名を書き留めますbull 2番の仮想サーバの IPアドレスとホスト名 (該当する場合)を書き留めますbull WINSサーバの IPアドレスを書き留めます (該当する場合)

Citrix Gatewayを介してアクセス可能な内部ネットワーク

bull ユーザーが Citrix Gateway経由でアクセスできる内部ネットワークを書き留めます例10100024bull ユーザーが Citrix Gatewayプラグインを使して Citrix Gateway経由で接続するときにアクセスする必要があるすべての内部ネットワークとネットワークセグメントをします

可性

Citrix Gatewayアプライアンスが 2つある場合は1つの Citrix Gatewayが接続を受けれて管理する可性構成でそれらを展開し2つの Citrix Gatewayが最初のアプライアンスを監視します最初の Citrix Gatewayが何らかの理由で接続の受けれを停すると2番の Citrix Gatewayが引き継ぎアクティブな接続の受けれを開始します


Citrix Gateway 130

bull Citrix Gatewayソフトウェアのバージョン番号をメモしますbull バージョン番号は両の Citrix Gatewayアプライアンスで同じである必要がありますbull 管理者パスワード（nsroot）を書き留めますパスワードは両のアプライアンスで同じである必要があります

bull プライマリ Citrix Gatewayの IPアドレスと IDを書き留めます最 ID番号は 64ですbull セカンダリ Citrix Gatewayの IPアドレスと IDを書き留めますbull ユニバーサルライセンスを取得し両のアプライアンスにインストールしますbull 両のアプライアンスに同じユニバーサルライセンスをインストールする必要がありますbull RPCノードのパスワードを書き留めます

認証と承認

Citrix Gatewayではさまざまな種類の認証と承認がサポートされておりさまざまな組み合わせで使できます認証と認可の詳細については認証と承認を参照してください

LDAP認証

環境に LDAPサーバーが含まれている場合はLDAPを使して認証できます

bull LDAPサーバの IPアドレスとポートを書き留めます

LDAPサーバへのセキュアでない接続を許可する場合デフォルトはポート 389ですSSLを使して LDAPサーバーへの接続を暗号化する場合デフォルトはポート 636です

bull セキュリティの種類を書き留めます

セキュリティは暗号化の有無にかかわらず設定できます

bull 管理者のバインド DNを書き留めます

LDAPサーバーで認証が必要な場合はLDAPディレクトリへのクエリを実するときに Citrix Gatewayが認証に使する管理者 DNをしますたとえばcn =管理者cn =ユーザーdc =エースdc = comなどです

bull 管理者パスワードを書き留めます

これは管理者のバインド DNに関連付けられたパスワードです

bull ベース DNを書き留めます

ユーザーを検索する DN（またはディレクトリレベル）ですたとえばou=usersdc=acedc=comです

bull サーバーのログオン名属性を書き留めます

ユーザーのログオン名を指定する LDAP ディレクトリの物オブジェクト属性をします既定値はsAMAccountNameですActive Directoryを使していない場合この設定に共通する値は cnまたは


Citrix Gateway 130

uidですLDAPディレクトリ設定の詳細については「LDAP認証の構成」を参照してください

bull グループ属性を書き留めますユーザーが属するグループを指定する LDAPディレクトリ個オブジェクト属性をしますデフォルトはmemberOfですこの属性によりCitrix Gatewayはユーザーが属するディレクトリグループを識別できます

bull サブアトリビュート名を書き留めます

RADIUS認証および認可

環境に RADIUSサーバが含まれている場合は認証に RADIUSを使できますRADIUS認証にはRSA SecurIDセーフワードおよびゲマルトプロティバ製品が含まれます

bull プライマリ RADIUSサーバの IPアドレスとポートを書き留めますデフォルトのポートは 1812ですbull プライマリ RADIUSサーバシークレット（共有シークレット）を書き留めますbull セカンダリ RADIUSサーバの IPアドレスとポートを書き留めますデフォルトのポートは 1812ですbull セカンダリ RADIUSサーバシークレット（共有シークレット）を書き留めますbull パスワードエンコードのタイプ（PAPCHAPMS-CHAP v1MSCHAP v2）を書き留めます

SAML認証

セキュリティーアサーションマークアップ語 (SAML)はIDプロバイダー (IdP)とサービスプロバイダーの間で認証と承認を交換するための XMLベースの標準です

bull セキュアな IdP証明書を取得して Citrix Gatewayにインストールしますbull リダイレクト URLを書き留めますbull ユーザフィールドを書き留めますbull 署名証明書の名前を書き留めますbull SAML発者名を書き留めますbull デフォルトの認証グループを書き留めます

ファイアウォールを介したポートのオープン（シングルホップ DMZ）

組織が単の DMZで内部ネットワークを保護しDMZに Citrix Gatewayを展開する場合はファイアウォールを介して次のポートを開きますダブルホップ DMZ展開に 2つの Citrix Gatewayアプライアンスをインストールする場合はファイアウォールで適切なポートを開くを参照してください


Citrix Gateway 130

セキュリティで保護されていないネットワークと DMZ間のファイアウォール

bull インターネットと Citrix Gatewayの間のファイアウォールで TCPSSLポート（デフォルト 443）を開きますユーザーデバイスはこのポートで Citrix Gatewayに接続します

セキュリティで保護されたネットワーク間のファイアウォール

bull DMZとセキュリティで保護されたネットワーク間のファイアウォールで 1つ以上の適切なポートを開きますCitrix Gatewayは1つ以上の認証サーバーまたはこれらのポート上の保護されたネットワーク内の CitrixVirtual Apps and Desktopsを実しているコンピューターに接続します

bull 認証ポートを書き留めます

Citrix Gateway構成に適したポートのみを開きます

ndash LDAP接続の場合デフォルトは TCPポート 389ですndash RADIUS接続の場合デフォルトはUDPポート 1812ですCitrix Virtual Apps and Desktopsのポートをメモします

bull Citrix Virtual Apps and Desktopsで Citrix Gatewayを使している場合はTCPポート 1494を開きますセッション画の保持を有効にする場合は1494ではなく TCPポート 2598を開きますこれらのポートは両とも開いたままにしておくことをお勧めします

Citrix Virtual DesktopsCitrix Virtual AppsWeb Interfaceまたは StoreFront

Citrix Gatewayを展開してWeb Interfaceまたは StoreFront経由で Citrix Virtual Apps and Desktopsにアクセスできるようにする場合は以下のタスクを実しますこの展開ではCitrix Gatewayプラグインは必要ありませんユーザーはWebブラウザーと Citrix Receiverのみを使してCitrix Gateway経由で公開アプリケーションおよびデスクトップにアクセスします

bull Web Interfaceまたは StoreFrontを実しているサーバーの FQDNまたは IPアドレスを書き留めますbull Secure Ticket Authority（STA）を実しているサーバの FQDNまたは IPアドレスを書き留めます（Web

Interfaceの場合のみ）

Citrix Endpoint Management

内部ネットワークに Citrix Endpoint Managementを展開する場合は以下のタスクを実しますユーザーがインターネットなどの外部ネットワークから Endpoint Managementに接続する場合ユーザーはモバイルWebSaaSアプリケーションにアクセスする前に Citrix Gatewayに接続する必要があります

bull Endpoint Managementの FQDNまたは IPアドレスを書き留めますbull ユーザーがアクセスできるウェブSaaSモバイル iOSまたは Androidアプリケーションを特定します


Citrix Gateway 130

Citrix Virtual Appsを使したダブルホップ DMZ展開

ダブルホップ DMZ構成で 2つの Citrix Gatewayアプライアンスを展開してCitrix Virtual Appsを実しているサーバーへのアクセスをサポートする場合は以下のタスクを実します

最初の DMZでの Citrix Gateway

最初の DMZは内部ネットワークの最も外側のエッジ (インターネットまたは安全でないネットワークに最も近い)にある DMZですクライアントはDMZとインターネットを分離するファイアウォールを介して最初の DMZのCitrix Gatewayに接続します最初の DMZに Citrix Gatewayをインストールする前にこの情報を収集してください

bull この Citrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションの項にします

これらの項を完了するとインターフェイス 0はこの Citrix Gatewayをインターネットに接続しインターフェイス 1はこの Citrix Gatewayを 2番の DMZの Citrix Gatewayに接続します

bull プライマリアプライアンスで 2番の DMZアプライアンス情報を設定します

ダブルホップ DMZの最初のホップとして Citrix Gatewayを構成するには最初の DMZのアプライアンス上の 2番の DMZで Citrix Gatewayのホスト名または IPアドレスを指定する必要があります最初のホップでアプライアンス上で Citrix Gatewayプロキシーをいつ構成するかを指定したらCitrix Gatewayにグローバルにバインドするか仮想サーバーにバインドします

bull アプライアンス間の接続プロトコルとポートをメモします

重 DMZ の最初のホップとして Citrix Gateway を構成するには接続プロトコルと 2 番の DMZ のCitrix Gatewayが接続をリッスンするポートを指定する必要があります接続プロトコルとポートは SSLを使する SOCKS (デフォルトのポート 443)ですプロトコルとポートは最初の DMZと 2番の DMZを分離するファイアウォールを介して開かれている必要があります

2番の DMZの Citrix Gateway

2 番の DMZ は内部のセキュアなネットワークに最も近い DMZ です2 番の DMZ に展開された CitrixGatewayはICAトラフィックのプロキシとして機能し外部ユーザーデバイスと内部ネットワーク上のサーバー間で 2番の DMZを通過します

bull この Citrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションのタスクを完了します

これらの項を完了するとインターフェイス 0がこの Citrix Gatewayを最初の DMZの Citrix Gatewayに接続することに注意してくださいインターフェイス 1はこの Citrix Gatewayをセキュリティ保護されたネットワークに接続します


Citrix Gateway 130


アップグレードしています

March 26 2020

Citrix Gatewayにあるソフトウェアは新しいリリースが利可能になったときにアップグレードできますあなたはCitrixのウェブサイト上で更新を確認することができます新しいリリースにアップグレードできるのはアップデートがリリースされたときに Citrix Gatewayライセンスが Subscription Advantageプログラムに登録されている場合のみですSubscription Advantageはいつでも更新できます詳細についてはシトリックスサポートWebサイトを参照してください

Citrix Gatewayの最新のメンテナンスリリースについてはCitrix Knowledge Centerを参照してください

ソフトウェアの更新を確認するには

1 シトリックスのWebサイトにアクセスします2 [My Account]をクリックしてログオンします3［ダウンロード］をクリックします4［ダウンロードの検索］で Citrix Gatewayを選択します5 [ダウンロードの種類を選択]で[製品ソフトウェア]を選択し[検索]をクリックします仮想アプライアンスを選択してCitrix ADC VPXをダウンロードすることもできますこの場合対象のハイパーバイザーを選択するためのページが開きます

6［Citrix Gatewayページで［Citrix ADC Gateway］または［Access Gateway］を展開します7 ダウンロードするアプライアンスソフトウェアのバージョンをクリックします8 ダウンロードするバージョンのアプライアンスソフトウェアページで仮想アプライアンスを選択しダウンロードをクリックします

9 画の指に従ってソフトウェアをダウンロードしてください

ソフトウェアをコンピュータにダウンロードしたらアップグレードウィザードまたはコマンドプロンプトを使してソフトウェアをインストールできます

アップグレードウィザードを使して Citrix Gatewayをアップグレードするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム]をクリックします2 詳細ウィンドウで[アップグレードウィザード]をクリックします3［Next］をクリックしてウィザードの指に従います


Citrix Gateway 130

コマンドプロンプトを使して Citrix Gatewayをアップグレードするには

1 ソフトウェアを Citrix GatewayにアップロードするにはWinSCPなどのセキュアな FTPクライアントを使してアプライアンスに接続します

2 ソフトウェアをコンピュータからアプライアンスの varnsinstallディレクトリにコピーします

3 PuTTYなどのセキュアシェル（SSH）クライアントを使してアプライアンスへの SSH接続を開きます

4 Citrix Gatewayにログオンします

5 コマンドプロンプトで次のコマンドを実しますshell

6 nsinstall ディレクトリに移動するにはコマンドプロンプトで次のようにしますcd varnsinstall

7 ディレクトリの内容を表するには次のようにしますls

8 ソフトウェアを解凍するにはtar mdashxvzfビルド _X_XXtgzとします

ここでbuild_X_XXtgzはアップグレードするビルドの名前です

9 インストールを開始するにはコマンドプロンプトで次のようにしますinstallns

10 インストールが完了したらCitrix Gatewayを再起動します

Citrix Gatewayの再起動後インストールが正常に完了したことを確認するには構成ユーティリティーを起動しますアプライアンスの Citrix Gatewayのバージョンが右上隅に表されます


システムのインストール

April 9 2020

Citrix Gatewayアプライアンスを受け取ったらアプライアンスを開梱しサイトとラックを準備しますアプライアンスを設置する場所が環境基準を満たしており指に従ってサーバラックが設置されていることを確認したらハードウェアを取り付けますアプライアンスをマウントしたらネットワーク電源および初期設定に使するコンソール端末に接続しますアプライアンスの電源をれたら初期構成を実し管理およびネットワーク IPアドレスを割り当てますインストール順に記載されている注意事項と警告を必ず守ってください

Citrix ADC VPX仮想アプライアンスをインストールする場合はまず仮想アプライアンスのイメージを取得しHypervisorまたは他の仮想マシンモニターにインストールする必要があります

Citrix Gatewayアプライアンスを構成する前に設定を書き留めておくことができるようにCitrix Gatewayのインストール前のチェックリストトピックを使することをお勧めしますこのチェックリストにはCitrix Gatewayとアプライアンスのインストールに関する情報が含まれています


Citrix Gateway 130


Citrix Gatewayの構成

March 26 2020

Citrix Gatewayで基本ネットワーク設定を構成したらユーザーがセキュリティで保護されたネットワーク上のネットワークリソースに接続できるように詳細設定を構成しますこれらの設定には次のものがあります

bull 仮想サーバCitrix Gatewayで複数の仮想サーバーを構成できるため実装する必要のあるユーザーシナリオに応じて異なるポリシーを作成できます各仮想サーバには独の IPアドレス証明書およびポリシーセットがありますたとえば仮想サーバーを構成しグループのメンバシップと仮想サーバーにバインドするポリシーに応じて内部ネットワークのネットワークリソースにユーザーを制限できます仮想サーバーを作成するには次の法を使します

ndash クイック構成ウィザードndash Citrix Gatewayウィザードndash 構成ユーティリティ

bull 可性ネットワークに 2つの Citrix Gatewayアプライアンスを展開するときに可性を構成できますプライマリアプライアンスに障害が発した場合セカンダリアプライアンスはユーザーセッションに影響を与えずに引き継ぐことができます

bull 証明書証明書を使してCitrix Gatewayへのユーザー接続をセキュリティで保護できます証明書署名要求 (CSR)を作成するときは証明書に完全修飾ドメイン名を追加します証明書を仮想サーバーにバインドできます

bull 認証Citrix Gatewayではローカル LDAPRADIUSSAMLクライアント証明書TACACS+など複数の認証タイプがサポートされていますさらにカスケード認証と 2要素認証を構成できます注認証に RSASafewordまたは Gemalto Protivaを使している場合はRADIUSを使してこれらのタイプを構成します

bull ユーザー接続セッションプロファイルを使してユーザー接続を構成できますプロファイル内ではユーザーがログオンできるプラグインとユーザーが必要とする制限事項を決定できます次に1つのプロファイルでポリシーを作成できますセッションポリシーはユーザーグループ仮想サーバーにバインドできます

bull ホームページデフォルトのアクセスインタフェースをホームページとして使することもカスタムホームページを作成することもできますユーザーが Citrix Gatewayに正常にログオンするとホームページが表されます

bull エンドポイント解析Citrix Gatewayではユーザーのログオン時にユーザーデバイスにソフトウェアファイルレジストリエントリプロセスおよびオペレーティングシステムがないかチェックするポリシーを構成できますエンドポイント分析ではユーザーデバイスに必要なソフトウェアが必要とされるためネットワークのセキュリティを強化できます


Citrix Gateway 130


構成ユーティリティの使

April 9 2020

構成ユーティリティではほとんどの Citrix Gateway設定を構成できます構成ユーティリティにアクセスするにはWebブラウザを使します

構成ユーティリティにログオンするには

1 WebブラウザでCitrix Gatewayのシステム IPアドレスをします（http1921681001など）注Citrix Gatewayにはデフォルトの IPアドレス1921681001とサブネットマスク25525500が事前構成されています

2 [ユーザー名]と [パスワード]に「nsroot」とします3［展開の種類］で Citrix Gatewayを選択し［ログイン］をクリックします

構成ユーティリティに初めてログオンするとデフォルトで [ホーム]タブにダッシュボードが開きます［ホーム］タブではクイック構成ウィザードを使して仮想サーバー認証証明書および Citrix Endpoint Managementの設定を構成できますクイック構成ウィザードではStoreFrontまたはWeb Interface設定を構成することもできます

Citrix Gatewayの構成について詳しくは以下を参照してください

bull「セットアップウィザードを使した初期設定の構成」を参照してくださいbull Configuring Settings with the Quick Configuration Wizardbull「Citrix Gatewayウィザードを使した設定の構成」を参照してください


Citrix Gatewayのポリシーとプロファイル

March 26 2020


Citrix Gateway 130

Citrix Gatewayのポリシーとプロファイルを使すると特定のシナリオまたは条件下で構成設定を管理および実装できます個々のポリシーでは指定した連の条件が満たされたときに有効になる構成設定を規定または定義します各ポリシーには意の名前がありポリシーにバインドされたプロファイルを持つことができます

Citrix Gatewayでのポリシーの詳細については以下のトピックを参照してください


ポリシーのしくみ

April 9 2020

ポリシーはブール条件とプロファイルと呼ばれる設定の集まりで構成されます条件は実時に評価されポリシーを適する必要があるかどうかを判断します

プロファイルとは特定のパラメータを使した設定の集まりですプロファイルには任意の名前を付けることができ複数のポリシーで再利できますプロファイル内で複数の設定を構成できますがポリシーごとに含めることができるプロファイルは 1つだけです

ポリシーを設定した条件とプロファイルを使して仮想サーバグループユーザーまたはグローバルにバインドできますポリシーは管理する構成設定のタイプによって参照されますたとえばセッションポリシーではユーザーのログオン法やユーザーのログオン状態を維持できる時間を制御できます

Citrix Virtual Appsで Citrix Gatewayを使している場合Citrix Gatewayのポリシー名がフィルターとしてCitrix Virtual Appsに送信されますCitrix Virtual Appsおよび SmartAccessと連携するようにCitrix Gatewayを構成する場合はCitrix Virtual Appsで次の設定を構成します

bull アプライアンス上で構成されている仮想サーバーの名前この名前はCitrix Gatewayファーム名としてCitrix Virtual Appsに送信されます

bull 事前認証またはセッションポリシーの名前はフィルタ名として送信されます

Citrix Endpoint Management と連携するように Citrix Gateway を設定する法の詳細については「CitrixEndpoint Management環境の設定の構成」を参照してください

Citrix Virtual Apps and Desktopsで機能する Citrix Gateway構成について詳しくは「Web Interfaceを使した Citrix Virtual Apps および Citrix Virtual Desktops リソースへのアクセス」および「Citrix EndpointManagementまたは StoreFrontとの統合」を参照してください

事前認証ポリシーの詳細についてはエンドポイントポリシーの設定を参照してください



Citrix Gateway 130

ポリシーの優先順位の設定

March 26 2020

ポリシーはポリシーがバインドされている順序で優先順位付けされ評価されます

ポリシープライオリティは次の 2つの法で決定します

bull ポリシーがバインドされるレベル（グローバル仮想サーバグループまたはユーザー）ポリシーレベルは次のように上位から下位にランク付けされます

ndash ユーザー（最もい優先度）ndash グループndash 仮想サーバndash グローバル（最も低い優先度）

bull ポリシーがバインドされているレベルに関係なく数値優先順位が優先されますグローバルにバインドされたポリシーの優先順位番号が 1でユーザーにバインドされた別のポリシーの優先順位番号が 2の場合グローバルポリシーが優先されますプライオリティ番号がさいほどポリシーの優先順位がくなります


条件付きポリシーの設定

March 26 2020

ポリシーを設定する場合任意のブール式を使してポリシーが適される条件を表すことができます条件付きポリシーを設定する場合次のような使可能な任意のシステム式を使できます

bull クライアントセキュリティストリングbull ネットワーク情報bull HTTPヘッダーとクッキーbull 時間帯bull クライアント証明書の値

SmartAccessのセッションポリシーなどユーザーデバイスが特定の条件を満たしている場合にのみ適するポリシーを作成することもできます

条件付きポリシーを設定するもう 1つの例はユーザーの認証ポリシーを変更することですたとえば宅のコンピュータやモバイルデバイスからMicro VPNを使するなど内部ネットワークの外部から Citrix Gatewayプラグインを使して接続しているユーザーはLDAPを使して認証されワイドエリアネットワーク（WAN）経由で接続しているユーザーは認証されるように要求できますを使してRADIUSを使します


Citrix Gateway 130

注ポリシー規則がセッションプロファイルのセキュリティ設定の部として構成されている場合エンドポイント分析結果に基づくポリシー条件は使できません


Citrix Gatewayでのポリシーの作成

March 26 2020

構成ユーティリティを使してポリシーを作成できますポリシーを作成したら適切なレベル (ユーザーグループ仮想サーバーまたはグローバル)にポリシーをバインドしますポリシーをこれらのレベルの 1つにバインドするとポリシー条件が満たされていればユーザーはプロファイル内で設定を受け取ります各ポリシーとプロファイルには意の名前があります

展開の部として Citrix Endpoint Managementまたは StoreFrontを使している場合はクイック構成ウィザードを使してこの展開の設定を構成できますウィザードの詳細についてはConfiguring Settings with theQuick Configuration Wizardを参照してください


システム式の設定

March 26 2020

システム式はポリシーが適される条件を指定しますたとえば事前認証ポリシーの式はユーザーがログオンしているときに適されますセッションポリシーの式はユーザーが認証されCitrix Gatewayにログオンした後に評価され適されます

Citrix Gatewayでは次の式を使できます

bull Citrix Gatewayへの接続を確するときにユーザーが使できるオブジェクトを制限する般的な式bull ユーザーデバイスにインストールして実する必要があるソフトウェアファイルプロセスまたはレジストリ値を定義するクライアントセキュリティ式

bull ネットワーク設定に基づいてアクセスを制限するネットワークベースの式

Citrix GatewayはCitrix ADCアプライアンスとして使することもできますアプライアンス上の部の式はCitrix ADCにより適可能です般的な式とネットワークベースの式はCitrix ADCで般的に使され般的に Citrix Gatewayでは使されませんCitrix Gatewayではクライアントセキュリティ式を使して正しいアイテムがユーザーデバイスにインストールされているかどうかを判断します


Citrix Gateway 130

クライアントセキュリティ式の設定

式はポリシーのコンポーネントです式は要求または応答に対して評価される単の条件を表します次のような条件をチェックする単純な式のセキュリティ字列を作成できます

bull サービスパックを含むユーザーデバイスのオペレーティングシステムbull ウイルス対策ソフトウェアのバージョンとウイルス定義bull ファイルbull プロセスbull レジストリ値bull ユーザー証明書


単純な式と複合式を作成する

March 26 2020

単純な式は単の条件をチェックします単純な式の例を次にします

REQHTTPURL == HTTPwwwmycompanycom

複合式は複数の条件をチェックします複合式を作成するには論理演算 ampampと

シンボルを使して評価の順序で式をグループ化できます

複合式は次のように分類できます

bull 名前の付いた式独したエンティティとして名前付き式は他のポリシーで再利できポリシーの部になります名前付き式は設定ユーティリティのシステムレベルで設定します定義済みの名前付き式をポリシーで使することも独の式を作成することもできます

bull インライン式インライン式はポリシーに固有のポリシー内で構築する式です

名前付き式を作成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[AppExpert]を展開し[式]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ポリシー式の作成]ダイアログボックスの [式名]に式の名前をします


Citrix Gateway 130

4 式を作成するには[追加]をクリックします5 次のいずれかをいます

a) [よく使する式]で覧から式を選択し[OK]をクリックし[作成]をクリックして[閉じる]をクリックします

b) [式を作成]で式字列のパラメータを選択し[OK]をクリックし[作成]をクリックして[閉じる]をクリックします


カスタム式の追加

March 26 2020

ポリシーを作成する場合はポリシーの設定中にカスタム式を作成できますたとえばユーザーが Citrix Gatewayプラグインを使してログオンしたりセッションの制限時間を設定したりWindowsでシングルサインオンを許可したりするためのセッションプロファイルを作成するとしますセッションプロファイルを作成したら[セッションポリシーの作成]ダイアログボックスで式を作成できます次の例はプロセスおよびウイルス対策アプリケーションをチェックする式をしています

クライアントアプリケーションプロセス (ccappexe)は存在する-頻繁な 5 ampampampクライアントアプリケーションAV (シマンテック) バージョン ==1420029-新鮮さ 5 ampampampns_true


ポリシー式での演算と演算の使

March 26 2020

演算は1つまたは複数のオブジェクト (オペランドを操作する演算ブール演算リレーショナルなど)を識別する記号ですこのトピックの最初のセクションでは使できる演算を定義し定義をします2番のセクションではメソッドURLクエリなどの特定の修飾で使できる演算をします

演算と定義

このセクションではポリシー式を作成するときに使できる演算を定義しその演算について説明します

bull == =等式次数


Citrix Gateway 130

これらの演算は完全致をテストします字と字が区別されます（rsquolsquocmdexerdquoは ldquocMdexerdquo lsquoと等しくありません）これらの演算は正確な構を満たす特定の字列を許可するが他の字列を除外する権限を作成する場合に便利です

bull GT

この演算は数値較に使されますこれはURLとクエリ字列のさに使されます

bull CONTAINS NOTCONTAINS

これらの演算は指定された修飾に対してチェックを実し指定された字列が修飾に含まれているかどうかを判断しますこれらの演算では字と字は区別されません

bull EXISTS NOTEXISTS

これらの演算は特定の修飾の存在をチェックしますたとえばこれらの演算を HTTPヘッダーに適して特定の HTTPヘッダーが存在するかまたは URLクエリが存在するかを判断できます

bull CONTENTS

この演算は修飾が存在し内容があるかどうか（つまり値に関係なくヘッダーが存在しそれに関連付けられた値があるかどうか）をチェックします

修飾演算オペランドアクションおよび例

このセクションでは演算とオペランドに使できるパラメータをします各項は修飾で始まり関連する演算とオペランドがリストされ式が実するアクションが記述され例がされます

bull 法

演算EQNEQオペランド必須-標準 HTTPメソッド-サポートされているメソッド- GET HEAD POST PUT DELETE OPTIONS TRACE CONNECTアクション設定されたメソッドへの着信要求メソッドを検証します例メソッド EQ GET

URL

bull

演算EQ NEQオペランド必須URL (形式[プレフィックス] [] [サフィックス])アクション設定された URLで着信 URLを確認します例URL EQFooaspURL EQ foo


Citrix Gateway 130

URL EQ aspURL EQ fooasp

bull

演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)アクション構成されたパターンの有無について着信 URLを検証します（URLおよび URLクエリを含む）例URLは lsquoZZZrsquoを含み

bull URL LEN

演算GTオペランド必須さ (整数値)処理着信 URLのさと設定されたさを較します（URLおよび URLクエリを含む）例URLLEN GT 60

bull URL QUERY

演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)オプションさおよびオフセット処理着信 URLクエリーで構成されたパターンが存在するかどうかを検証しますCONTENTSと同様に使されますオプションが指定されていない場合はパターンの後の URLクエリ全体が使されますオプションが存在する場合パターンの後のクエリのさのみが使されますオフセットはパターンの検索を開始する位置をすために使されます例URLQUERY CONTAINS lsquoZZZrsquo

bull URL QUERY LEN

演算GTオペランド必須さ (整数値)処理着信 URLクエリのさと設定されたさを較します例URLQUERYLN GT 60

bull URL TOKENS

演算EQ NEQオペランド必須URLトークン (サポートされている URLトークン = + amp)アクション着信URLを較して設定されたトークンの存在を確認します疑問符の前にバックスラッシュ（）をする必要があります例URLTOKENS EQ lsquo + amp rsquo

bull VERSION


Citrix Gateway 130

演算EQ NEQオペランド必須標準 HTTPバージョン有効な HTTPバージョン字列 HTTP10HTTP11アクション着信リクエストの HTTPバージョンと設定された HTTPバージョンを較します例VERSION EQ HTTP11

Header

bull

演算EXISTSNOTEXISTSオペランドなし処理受信要求で HTTPヘッダーの存在を検査します例Header Cookie EXISTS

bull

演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)オプションさおよびオフセット処理着信要求で特定のヘッダーに構成されたパターンが存在するかどうかを検証しますCONTENTSと同様に使されますオプションが指定されていない場合はパターンの後の HTTPヘッダー値全体が使されますオプションが存在する場合パターンの後のヘッダーのさのみが使されますオフセットはパターンの検索を開始する位置をすために使されます例Header Cookie CONTAINS ldquoampsidrdquo

bull

演算CONTENTSオペランドオプションさおよびオフセット処理HTTPヘッダーの内容を使しますオプションを指定しない場合はHTTPヘッダー値全体が使されますオプションが存在する場合オフセットから始まるヘッダーのさのみが使されます例Header User-Agent CONTENTS

bull SOURCEIP

オペレータEQ NEQオペランド必須IPアドレスオプションサブネットマスクアクション着信要求の送信元 IPアドレスを設定された IPアドレスと照合して検証しますオプションのサブネットマスクが指定されている場合着信要求は設定された IPアドレスおよびサブネットマスクに対して検証されます例Sourceip EQ 1921681000 -netmask 2552552550

bull DESTIP

オペレータEQ NEQオペランド必須IPアドレス


Citrix Gateway 130

オプションサブネットマスクアクション着信要求の宛先 IPアドレスを設定された IPアドレスと照合して検証しますオプションのサブネットマスクが指定されている場合着信要求は設定された IPアドレスおよびサブネットマスクに対して検証されます例Sourceip EQ 1921681000 -netmask 2552552550

bull SOURCEPORT

オペレータEQ NEQオペランド必須ポート番号オプションポート範囲アクション着信要求の送信元ポート番号を設定されたポート番号と照合して検証します例SOURCEPORT EQ 10-20

bull DESTPORT

オペレータEQNEQオペランド必須ポート番号オプションポート範囲アクション着信要求の宛先ポート番号を設定されたポート番号と照合して検証します例DESTPORT NEQ 80

bull CLIENTSSLVERSION

演算EQ NEQオペランド必須SSLバージョンアクションセキュアな接続で使されている SSLまたは TLSバージョンのバージョンを確認します例CLIENTSSLVERSION EQ SSLV3

bull CLIENTCIPHERTYPE

演算EQ NEQオペランド必須クライアント暗号タイプアクション使されている暗号の種類 (エクスポートまたはエクスポート)をチェックします例CLIENTCIPHERTYPE EQ EXPORT

bull CLIENTCIPHERBITS

演算EQNEQGELEGTLTオペランド必須クライアント暗号ビットアクション使されている暗号の鍵強度をチェックします例CLIENTCIPHERBITS GE 40

bull CLIENTCERT

演算EXISTSNOTEXISTSオペランドnoneアクションクライアントが SSLハンドシェイク中に有効な証明書を送信したかどうかを確認します例CLIENTCERT EXISTS


Citrix Gateway 130

bull CLIENTCERTVERSION

オペレータEQ NEQ GE LE GT LTオペランドクライアント証明書バージョンアクションクライアント証明書のバージョンを確認します例CLIENTCERTVERSION EQ 2

bull CLIENTCERTSERIALNUMBER

オペレータEQ NEQオペランド必須クライアント証明書のシリアル番号アクションクライアント証明書のシリアル番号を確認しますシリアル番号は字列として扱われます例CLIENTCERTSER IALNUMBER EQ 2343323

bull CLIENTCERTSIGALGO

演算EQ NEQオペランド必須クライアント証明書の署名アルゴリズムアクションクライアント証明書で使されている署名アルゴリズムをチェックします例CLIENTCERTSIGALGO EQ md5WithRSAEncryption

bull CLIENTCERTSUBJECT

演算CONTAINSNOTCONTAINSオペランド必須クライアント証明書のサブジェクトオプションさオフセットアクションクライアント証明書のサブジェクトフィールドをチェックします例CLIENTCERTSUBJECT CONTAINS CN= Access_Gateway

bull CLIENTCERTISSUER

演算CONTAINSNOTCONTAINSオペランド必須クライアント証明書発者オプションさオフセットアクションクライアント証明書の発者フィールドをチェックします例CLIENTCERTISSUER CONTAINS O=VeriSign

bull CLIENTCERTVALIDFROM

演算EQ NEQ GE LE GT LTオペランド必須付処理クライアント証明書が有効である付を確認します有効な付フォーマットは1994年 11 5（）081231（グリニッジ標準時）曜11 9〜 94午前 8時 12分 31秒（グリニッジ標準時）曜11 14午前 8時 12分 31秒（）です


Citrix Gateway 130

bull CLIENTCERTVALIDTO

演算EQ NEQ GE LE GT LTオペランド必須付処理クライアント証明書が有効になるまでの付をチェックします有効な付フォーマットは次のとおりですTue 05 Nov 1994 081231 GMTTuesday 05-Nov-94 081231 GMTTue Nov 14 081231 1994Example CLIENTCERTVALIDTO GE lsquoTue Nov 14 081231 1994rsquo


Citrix Gatewayの構成設定の表

March 26 2020

Citrix Gatewayの構成を変更するとその変更はログファイルに保存されますいくつかのタイプの構成設定を表できます

bull 保存された設定Citrix Gatewayに保存した設定を確認できますbull 実構成仮想サーバーや認証ポリシーなどCitrix Gatewayに保存した構成として保存していないアクティブな設定を表できます

bull 実構成と保存構成の較Citrix Gatewayで実中および保存済みの構成を並べて較できます

Citrix Gatewayの構成設定をクリアすることもできます

重要Citrix Gatewayの設定をクリアすると証明書仮想サーバーポリシーが削除されます構成をクリアしないことをお勧めします


Citrix Gateway構成の保存

March 26 2020

Citrix Gatewayの現在の構成をネットワーク上のコンピューターに保存したり現在の実構成を表したり保存済み構成と実構成を較したりできます


Citrix Gateway 130

Citrix Gateway上に構成を保存するには

1 構成ユーティリティの詳細ペインの上にある [保存]アイコンをクリックし[はい]をクリックします

Citrix Gatewayで構成ファイルを表および保存するには

保存された構成は仮想サーバーポリシーIPアドレスユーザーグループ証明書の設定などCitrix Gatewayのログファイルに保存される設定です

Citrix Gatewayで設定を構成するときにその設定をコンピューター上のファイルに保存できますCitrix Gatewayソフトウェアを再インストールする必要がある場合や誤って部の設定を削除した場合はこのファイルを使して構成を復元できます設定を復元する必要がある場合はファイルを Citrix GatewayにコピーしコマンドラインインターフェイスまたはWinSCPなどのプログラムを使してアプライアンスを再起動してファイルを CitrixGatewayにコピーします

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします

2 詳細ペインの [構成の表]で[保存された構成]をクリックします3 [保存された構成]ダイアログボックスで[出テキストをファイルに保存]をクリックしファイルに名前を付け[保存]をクリックします注nsconfというファイル名でファイルを保存することをお勧めします

現在の実構成を表するには

Citrix Gatewayに加えた変更を保存する間をかけずに実構成と呼びますこれらの設定は Citrix Gatewayで有効ですがアプライアンスには保存されませんポリシー仮想サーバユーザグループなどの追加設定を構成した場合は実構成でこれらの設定を表できます


2 詳細ペインの [構成の表]で[実構成]をクリックします

保存された構成と実構成を較するには

アプライアンスに保存されている設定を確認しそれらの設定を実構成と較できます実構成を保存するか構成を変更するかを選択できます


2 詳細ペインの [構成の表]で[保存済み vs実中]をクリックします



Citrix Gateway 130

Citrix Gateway構成のクリア

March 26 2020

Citrix Gatewayの構成設定をクリアできます次の 3つのレベルのうちクリアする設定を選択できます

重要Citrix Gatewayの構成設定をクリアする前に構成を保存することをお勧めします

bull 基本システム IPアドレスデフォルト Gatewayマッピングされた IPアドレスサブネット IPアドレスDNS設定ネットワーク設定可性設定管理パスワード機能およびモード設定を除きアプライアンス上のすべての設定をクリアします

bull [拡張] システム IPアドレスマッピング IPアドレスサブネット IPアドレスDNS設定および可性定義を除くすべての設定をクリアします

bull フルアプライアンスへのネットワーク接続を維持するために必要なシステム IP（NSIP）アドレスとデフォルトルートを除く場出荷時の設定に構成を復元します

構成のすべてまたは部をクリアすると機能設定は場出荷時のデフォルト設定に設定されます

構成をクリアしても証明書やライセンスなどCitrix Gatewayに保存されているファイルは削除されませんファイル nsconfは変更されません構成をクリアする前に構成を保存する場合はまず構成をコンピュータに保存します構成を保存するとCitrix Gatewayで nsconfファイルを復元できますアプライアンスにファイルを復元して Citrix Gatewayを再起動するとnsconfの構成設定が復元されます

rcconfなどの設定ファイルへの変更は元に戻りません

可性ペアを使している場合両の Citrix Gatewayアプライアンスが同じように変更されますたとえば1つのアプライアンスの基本設定をクリアすると変更内容が 2番のアプライアンスに伝播されます

Citrix Gatewayの構成設定をクリアするには


2 詳細ペインの [メンテナンス]で[構成のクリア]をクリックします3 [構成レベル]でクリアするレベルを選択し[実]をクリックします


ウィザードを使した Citrix Gatewayの構成

April 9 2020

Citrix Gatewayにはアプライアンスの設定に使できる次の 6つのウィザードがあります


Citrix Gateway 130

bull Citrix Gatewayアプライアンスに初めてログオンすると初回セットアップウィザードが表されますbull セットアップウィザードではCitrix Gatewayの基本設定を初めて構成できますbull Citrix Endpoint Managementの統合構成はCitrix Gatewayと Citrix Endpoint Management環境を構成するのに役ちます

bull クイック構成ウィザードではCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceへの接続に関する正しいポリシー式および設定を構成できます

bull Citrix GatewayウィザードではCitrix Gateway固有の設定を構成できますbull 公開アプリケーションウィザードではCitrix Workspaceアプリを使してユーザー接続の設定を構成できます

初回セットアップウィザードの仕組み

Citrix Gatewayアプライアンスの初期設定のインストールと構成が完了したら構成ユーティリティに初めてログオンするときに次の条件が満たされない場合は初回セットアップウィザードが表されます

bull アプライアンスにライセンスがインストールされていませんbull サブネットまたはマッピング IPアドレスを設定していませんbull アプライアンスのデフォルト IPアドレスが 1921681001の場合

セットアップウィザードの仕組み

セットアップウィザードを使してアプライアンスで次の初期設定を構成します

bull システム IPアドレスとサブネットマスクbull マッピングされた IPアドレスとサブネットマスクbull ホスト名bull デフォルトゲートウェイbull ライセンス

注セットアップウィザードを実する前にCitrixのWebサイトからライセンスをダウンロードしてください詳細については「Citrix Gatewayのライセンス」を参照してください

統合 Citrix Endpoint Management構成の仕組み

Citrix Endpoint Management MDMを使して Citrix Gatewayを展開するとアプリケーションのスケーリング可性の確保およびセキュリティの維持が可能ですCitrix Endpoint Management構成を使するにはバージョン 101ビルド 1201316eをインストールする必要があります

統合 Citrix Endpoint Management構成では次のものが作成されます

bull デバイスマネージャのロードバランシングサーバ


Citrix Gateway 130

bull メールフィルタリング機能を備えたMicrosoft Exchangeのサーバーの負荷分散bull ShareFileのサーバーの負荷分散

統合 Citrix Endpoint Management構成での設定の作成について詳しくは「Citrix Endpoint Management環境の設定の構成」を参照してください

クイック構成ウィザードの仕組み

クイック構成ウィザードではCitrix Gatewayで複数の仮想サーバーを構成できます仮想サーバーを追加編集削除できます

クイック構成ウィザードでは次の展開をシームレスに構成できます

bull Citrix Virtual Apps and DesktopsへのWeb Interface接続Secure Ticket Authority（STA）の複数のインスタンスを構成できます

bull Citrix Endpoint Managementのみbull StoreFrontのみbull Citrix Endpoint Managementと StoreFrontの併

クイック構成ウィザードではアプライアンスで次の設定を構成できます

bull 仮想サーバ名IPアドレスおよびポートbull セキュアポートからセキュアポートへのリダイレクションbull LDAPサーバーbull RADIUSサーバーbull 証明書bull DNSサーバーbull Citrix Endpoint Managementと Citrix Virtual Apps and Desktops

Citrix GatewayはCitrix Endpoint Managementへのユーザー接続を直接サポートしますこれによりユーザーは ShareFileへのアクセスに加えて分のWebSaaSおよびモバイルアプリケーションにアクセスできるようになりますStoreFrontの設定を構成してユーザーがWindowsベースのアプリケーションおよび仮想デスクトップにアクセスできるようにすることもできます

クイック構成ウィザードを実するとCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceの設定に基づいて次のポリシーが作成されます

bull セッションポリシー（ReceiverReceiver for WebCitrix Gatewayプラグインおよびプログラムネイバーフッドエージェントのポリシーとプロファイルなど）

bull クライアントレスアクセスbull LDAPおよび RADIUS認証

Citrix Gatewayウィザードの仕組み

Citrix Gatewayウィザードを使してアプライアンスで次の設定を構成します


Citrix Gateway 130

bull 仮想サーバーbull 証明書bull ネームサービスプロバイダbull 認証bull 承認bull ポートのリダイレクトbull クライアントレスアクセスbull SharePointのクライアントレスアクセス

公開アプリケーションウィザードの仕組み

公開アプリケーションウィザードを使して内部ネットワーク内の Citrix Virtual Apps and Desktopsを実しているサーバーに接続するように Citrix Gatewayを構成します公開アプリケーションウィザードでは次の操作を実できます

bull サーバファームに接続する仮想サーバを選択しますbull Web Interfaceまたは StoreFrontのユーザー接続シングルサインオンおよび Secure Ticket Authorityの設定を構成します

bull SmartAccessのセッションポリシーを作成または選択します

ウィザード内ではユーザー接続のセッションポリシー式を作成することもできますサーバーファームに接続するように Citrix Gatewayを構成する法の詳細については「Web Interfaceを使した公開アプリケーションおよび Virtual Desktopsへのアクセスの提供」を参照してください


初回セットアップウィザードを使した Citrix Gatewayの構成

March 26 2020

Citrix Gateway（物理アプライアンスまたは VPX仮想アプライアンス）を初めて構成するにはアプライアンスと同じネットワーク上に構成された管理コンピューターが必要です

アプライアンスの管理 IPアドレスとしてCitrix Gateway IP（NSIP）アドレスとサーバーが接続できるサブネット IP（SNIP）アドレスを割り当てる必要がありますCitrix Gatewayと SNIPアドレスの両に適されるサブネットマスクを割り当てますタイムゾーンも設定する必要がありますホスト名を割り当てる場合はNSIPアドレスの代わりに名前を指定してアプライアンスにアクセスできます

初回セットアップウィザードには2つのセクションがあります最初のセクションではCitrix Gatewayアプライアンスの基本的なシステム設定を構成します


Citrix Gateway 130

bull NSIPアドレスSNIPアドレスサブネットマスクbull アプライアンスのホスト名bull DNSサーバーbull タイムゾーンbull 管理者パスワード

2番のセクションではライセンスをインストールしますDNSサーバーのアドレスを指定するとローカルコンピューターからアプライアンスにライセンスをアップロードする代わりにハードウェアシリアル番号 (HSN)またはライセンスアクティベーションコード (LAC)を使してライセンスを割り当てることができます

注ライセンスをローカルコンピュータに保存することをお勧めします

これらの設定の構成が完了するとCitrix Gatewayからアプライアンスの再起動を求めるメッセージが表されますアプライアンスに再度ログオンすると他のウィザードと構成ユーティリティを使して追加設定を構成できます


Configuring Settings with the Quick ConfigurationWizard

April 9 2020

Citrix Gatewayでクイック構成ウィザードを使してCitrix Endpoint ManagementStoreFrontまたはWeb Interfaceとの通信を有効にするための設定を構成できます構成が完了するとウィザードによってCitrixGatewayEndpoint ManagementStoreFrontまたはWeb Interface間の通信に関する適切なポリシーが作成されますこれらのポリシーには認証セッションおよびクライアントレスアクセスポリシーが含まれますウィザードが完了するとポリシーが仮想サーバにバインドされます

クイック構成ウィザードを完了するとCitrix Gatewayは Endpoint Managementまたは StoreFrontと通信できユーザーはWindowsベースのアプリケーション仮想デスクトップWebSaaSおよびモバイルアプリケーションにアクセスできますユーザーは Endpoint Managementに直接接続できます

ウィザードでは次の設定を構成します

bull 仮想サーバ名IPアドレスおよびポートbull セキュアポートからセキュアポートへのリダイレクションbull 証明書bull LDAPサーバーbull RADIUSサーバーbull 認証のクライアント証明書 (2要素認証のみ)bull Endpoint ManagementStoreFrontまたはWeb Interface


Citrix Gateway 130

クイック構成ウィザードはLDAPRADIUSおよびクライアント証明書の認証をサポートしますウィザードで 2要素認証を構成するには次のガイドラインに従います

bull プライマリ認証タイプとして LDAPを選択した場合はセカンダリ認証タイプとして RADIUSを設定できます

bull プライマリ認証タイプとして RADIUSを選択した場合はセカンダリ認証タイプとして LDAPを設定できます

bull プライマリ認証タイプとしてクライアント証明書を選択した場合はセカンダリ認証タイプとして LDAPまたは RADIUSを設定できます

クイック構成ウィザードを使して複数の LDAP認証ポリシーを作成することはできませんたとえば[サーバーログオン名の属性]フィールドで sAMAccountNameを使するポリシーと[サーバーログオン名の属性]フィールドでユーザープリンシパル名 (UPN)を使する LDAPポリシーを構成するとしますこれらの個別のポリシーを構成するにはCitrix Gateway構成ユーティリティを使して認証ポリシーを作成します詳しくは「LDAP認証の構成」を参照してください

簡易構成ウィザードでは以下の法を使してCitrix Gatewayの証明書を構成できます

bull アプライアンスにインストールされている証明書を選択しますbull 証明書と秘密キーをインストールしますbull テスト証明書を選択します注テスト証明書を使する場合は証明書に含まれる完全修飾ドメイン名 (FQDN)を追加する必要があります

クイック構成ウィザードは次の 2つの法のいずれかで開くことができます

bull Citrix Gatewayのログオンページで［展開の種類］で［Citrix Gateway］を選択すると［ホーム］タブが表されます[展開の種類]で他のオプションを選択すると[ホーム]は表されません

bull Citrix Gatewayの詳細ペインの［Citrix Gatewayの作成監視］リンクから選択しますCitrix ADC機能を有効にするライセンスをインストールするとこのリンクが表されますCitrix Gatewayのみのアプライアンスのライセンスを取得した場合リンクは表されません

ウィザードを最初に実した後ウィザードを再度実して追加の仮想サーバーと設定を作成できます

重要クイック構成ウィザードを使して追加の Citrix Gateway仮想サーバーを構成する場合は意の IPアドレスを使する必要があります既存の仮想サーバーで使されている IPアドレスと同じ IPアドレスを使することはできませんたとえばIPアドレスが 192168105でポート番号が 80の仮想サーバーがあるとしますポート番号 443の IPアドレス 192168105の 2番の仮想サーバーを作成するのにはクイック構成ウィザードを実します構成を保存しようとするとエラーが発します

クイック構成ウィザードで設定を構成するには

1 構成ユーティリティで次のいずれかの操作をいますa) アプライアンスに Citrix Gatewayのみのライセンスが付与されている場合は［ホーム］タブをクリックします


Citrix Gateway 130

b) アプライアンスに Citrix ADC機能を含めるライセンスが付与されている場合は［構成］タブのナビゲーションペインで［Citrix Gateway］をクリックし詳細ペインの［はじめに］で［エンタープライズストアの Citrix Gatewayの構成］をクリックします

2 ダッシュボードで［新しい Citrix Gatewayの作成］をクリックします3 Citrix Gatewayの設定で以下を構成します

a) [名前]に仮想サーバーの名前をしますb) [IPアドレス]に仮想サーバーの IPアドレスをしますc)［Port］ボックスにポート番号をしますデフォルトのポート番号は 443ですd) ポート 80からポート 443へのユーザー接続を許可するには[ポート 80からセキュアポートへ要求をリダイレクト]を選択します

4［続］をクリックします5 [証明書]ページで次のいずれかの操作をいます

a) [証明書の選択]をクリックし[証明書]で証明書を選択しますb) [証明書のインストール]をクリックし[証明書の選択]で [キーの選択]の [参照]をクリックして証明書と秘密キーに移動します

c) [テスト証明書の使]をクリックし[証明書 FQDN]にテスト証明書に含まれる完全修飾ドメイン名(FQDN)をします

6［続］をクリックします7 [認証設定]で次の操作をいます

a) [プライマリ認証]で[LDAP][RADIUS]または [証明書]を選択しますb) 認証サーバーを選択するか前の順で選択した認証タイプの設定を構成します[Cert]を選択した場合はクライアント証明書を選択するか新しいクライアント証明書をインストールします

c) [セカンダリ認証]で認証の種類を選択し認証サーバーの設定を構成します8［続］をクリックします

ネットワークと認証の設定が完了したらCitrix Endpoint Management または Citrix Virtual Apps andDesktops（StoreFrontまたはWeb Interface）の設定を構成できます

エンタープライズストア設定の構成

Citrix Gateway ではWebSaaSモバイルアプリケーションおよび ShareFile へのユーザーアクセスはEndpoint Management経由でのみサポートされますStoreFrontまたはWeb Interfaceも展開するとユーザーはWindowsベースのアプリと仮想デスクトップにアクセスできます次のオプションの設定を構成できます

bull Endpoint Managementのみbull StoreFrontのみbull Endpoint Managementと StoreFrontの併bull Web Interfaceのみ

前の順で [続]をクリックすると展開シナリオの設定を構成できます次の順はCitrixの統合設定ページで開始します


Citrix Gateway 130

仮想サーバーを作成した後クイック構成ウィザードで仮想サーバーを編集してもCitrix Endpoint Managementまたは Citrix Virtual Apps and Desktopsの設定は変更できません

たとえばCitrix Enterprise Storeの設定を構成する前に仮想サーバーの構成をキャンセルすると設定をわずにWebインターフェイスが動的に選択されますこの状況が発した場合Web Interfaceを構成するために仮想サーバーの詳細を編集することはできますがCitrix Endpoint Managementに切り替えることはできません切り替えるには新しい仮想サーバを作成する必要があります構成中はウィザードをキャンセルしないでくださいWeb Interface仮想サーバーが必要ない場合はクイック構成ウィザードを使して削除できます

StoreFrontのみの設定を構成するには

1［Citrix Virtual Apps and Desktops］をクリックします2 [展開の種類]で[StoreFront]を選択します3 StoreFront サーバーの完全修飾ドメイン名（FQDN）にStoreFront サーバーの完全修飾ドメイン名（FQDN）をします

4 Receiver for Webパスでデフォルトのパスをそのまま使するか独のパスをします5 セキュアなユーザー接続の場合は[HTTPS]を選択します6「シングルサインオンドメイン」でStoreFrontのドメインをします7 StoreFrontを展開しCitrix Virtual Appsまたは Citrix Virtual Desktopsから公開アプリケーションへのアクセスを許可する場合はSTA URLにSecure Ticket Authority（STA）を実しているサーバーの完全な IPアドレスまたは FQDNをします

8［完了］をクリックします

ユーザーが Citrix Gateway経由で StoreFrontに接続するとユーザーは Receiver for Webまたは Receiverからアプリやデスクトップを起動できます

Endpoint Managementのみの設定を構成するには

1［Citrix Endpoint Management］をクリックします2 [App Controller FQDN]にEndpoint Managementの FQDNをします3［完了］をクリックします

Web Interface設定を構成するには

1 クイック構成ウィザードで［Citrix Virtual Apps and Desktops］をクリックします2 [展開の種類]で [Web Interface]を選択し次の構成をいます

a)［Citrix Virtual AppsサイトのURL］にWeb Interfaceの完全な IPアドレスまたは FQDNをします

b) Citrix Virtual Appsサービスサイトの URLにPNAgentパスを含むWeb Interfaceの完全な IPアドレスまたは FQDNをします既定のパスをすることも独のパスをすることもできます


Citrix Gateway 130

c)「シングルサインオンドメイン」で使するドメインをしますd) [STA URL]にSTAを実しているサーバーの完全な IPアドレスまたは FQDNをします



Citrix Gatewayウィザードを使した設定の構成

April 9 2020

セットアップウィザードを実した後Citrix Gatewayウィザードを実して Citrix Gatewayに追加の設定を構成できますCitrix Gatewayウィザードは構成ユーティリティから実します

Citrix Gatewayにはテスト証明書が付属しています認証局（CA）からの署名付き証明書がない場合はCitrixGatewayウィザードを使してテスト証明書を使できます署名付き証明書を受け取ったらテスト証明書を削除し署名付き証明書をインストールできますCitrix Gatewayを公開する前に署名付き証明書を取得することをお勧めします

注証明書署名リクエスト（CSR）はCitrix Gatewayウィザードから作成できますCitrix Gatewayウィザードを使して CSRを作成する場合はウィザードを終了しCAから署名付き証明書を受け取ったときにウィザードを再度開始する必要があります証明書について詳しくは「証明書のインストールと管理」を参照してください

仮想サーバーを構成するときにCitrix Gatewayウィザードでインターネットプロトコルバージョン 6（IPv6）のユーザー接続を構成できますユーザー接続の IPv6の使について詳しくはユーザ接続の IPv6の設定を参照してください

Citrix Gatewayウィザードを起動するには

1 構成ユーティリティで［構成］タブをクリックしナビゲーションペインで［Citrix Gateway］をクリックします

2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3［Next］をクリックしてウィザードの指に従います



Citrix Gateway 130

Citrix Gatewayでのホスト名および完全修飾ドメイン DNの構成

March 26 2020

ホスト名はライセンスファイルに関連付けられた Citrix Gatewayアプライアンスの名前ですホスト名はアプライアンスに固有でユニバーサルライセンスをダウンロードするときに使されますホスト名はセットアップウィザードを実して Citrix Gatewayを初めて構成するときに定義します

完全修飾ドメイン名 (FQDN)は仮想サーバーにバインドされる署名付き証明書に含まれますCitrix GatewayでFQDNを構成しないでください1つのアプライアンスは証明書を使して Citrix Gatewayで構成された各仮想サーバーに意の FQDNを割り当てることができます

証明書の詳細を表すると証明書の FQDNを検索できますFQDNは証明書のサブジェクトフィールドにあります

証明書の FQDNを表するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]を展開し[証明書]をクリックします

2 詳細ペインで証明書を選択し[操作][詳細]の順にクリックします3 [証明書の詳細]ダイアログボックスで[件名]をクリックします証明書の FQDNが覧に表されます


証明書のインストールと管理

March 26 2020

Citrix Gatewayでは証明書を使して安全な接続を作成しユーザーを認証します

セキュアな接続を確するには接続のの端にサーバー証明書が必要ですサーバー証明書を発した認証局(CA)のルート証明書は接続のもうの端に必要です

bull サーバー証明書サーバー証明書はサーバーの IDを証明しますCitrix Gatewayではこの種類のデジタル証明書が必要です

bull ルート証明書ルート証明書はサーバー証明書に署名した CAを識別しますルート証明書は CAに属しますユーザーデバイスではサーバー証明書を検証するためにこのタイプのデジタル証明書が必要です

ユーザーデバイス上のWebブラウザとの安全な接続を確するとサーバーはその証明書をデバイスに送信します


Citrix Gateway 130

ユーザーデバイスがサーバー証明書を受信するとInternet ExplorerなどのWebブラウザは証明書を発したCAとその CAがユーザーデバイスによって信頼されているかどうかを確認しますCAが信頼されていない場合またはテスト証明書の場合Webブラウザは証明書を受けれるか拒否するかをユーザに求めます（サイトへのアクセスを効果的に許可または拒否します）

Citrix Gatewayでは次の 3種類の証明書がサポートされています

bull 仮想サーバーにバインドされサーバーファームへの接続にも使できるテスト証明書Citrix Gatewayにはテスト証明書がプリインストールされています

bull CAによって署名され秘密キーとペアになっている PEMまたは DER形式の証明書bull 証明書と秘密キーを格納または転送するために使される PKCS 12形式の証明書PKCS 12証明書は通常既存のWindows証明書から PFXファイルとしてエクスポートされCitrix Gatewayにインストールされます

Thawteや VeriSignなど信頼された CAによって署名された証明書を使することをお勧めします


証明書署名要求の作成

April 9 2020

SSLまたは TLSを使してセキュアな通信を提供するにはCitrix Gatewayでサーバー証明書が必要です証明書を Citrix Gatewayにアップロードする前に証明書署名リクエスト（CSR）と秘密キーを成する必要がありますCitrix Gatewayウィザードまたは構成ユーティリティに含まれている証明書要求の作成を使してCSRを作成します証明書要求の作成は署名のために認証局（CA）に電メールで送信されるcsrファイルとアプライアンスに残る秘密キーを作成しますCAは証明書に署名し指定した電メールアドレスで返却します署名付き証明書を受け取ったらCitrix GatewayにインストールできますCAから証明書を受け取ったら証明書を秘密キーとペアにします

重要Citrix Gatewayウィザードを使して CSRを作成する場合はウィザードを終了し署名付き証明書が CAから送信されるまで待つ必要があります証明書を受け取ったらCitrix Gatewayウィザードを再度実して設定を作成し証明書をインストールできますCitrix Gatewayウィザードの詳細については「Citrix Gatewayウィザードを使した設定の構成」を参照してください

Citrix Gatewayウィザードを使して CSRを作成するには

1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで [Citrix ADC Gateway]をクリックします

2 詳細ペインの [はじめに]で[Citrix ADC Gatewayウィザード]をクリックします


Citrix Gateway 130

3 [サーバー証明書の指定]ページが表されるまでウィザードの指に従います4 [証明書署名要求の作成]をクリックしフィールドにします注完全修飾ドメイン名（FQDN）はCitrix Gatewayのホスト名と同じである必要はありませんFQDNはユーザーログオンに使されます

5 [作成]をクリックして証明書をコンピュータに保存し[閉じる]をクリックします6 設定を保存せずに Citrix Gatewayウィザードを終了します

Citrix ADC GUIを使して CSRを作成するには

CitrixCitrix Gatewayウィザードを実せずにCitrix ADC GUIを使して CSRを作成することもできます

1 [トラフィック管理] gt [ SSL] gt [SSLファイル]に移動し[証明書署名要求 (CSR)の作成]を選択します2 証明書の設定を完了し[作成]をクリックします

証明書と秘密キーを作成したらThawteや VeriSignなどの証明書を CAに電メールで送信します


Citrix Gatewayへの署名付き証明書のインストール

March 26 2020

認証局（CA）から署名付き証明書を受け取ったらアプライアンスの秘密キーとペアリングしCitrix Gatewayに証明書をインストールします

署名付き証明書と秘密キーをペアリングするには

1 WinSCP などのセキュアシェル（SSH）プログラムを使して証明書を Citrix Gateway のフォルダnsconfigsslにコピーします


3 詳細ペインで［Install］をクリックします4 [証明書とキーのペア名]に証明書の名前をします5「証明書ファイル名」で「参照」のドロップダウンボックスを選択し「アプライアンス」をクリックします6 証明書に移動し[選択][開く]の順にクリックします7「秘密鍵ファイル名」で「参照」のドロップダウンボックスを選択し「アプライアンス」をクリックします秘密キーの名前は証明書署名要求 (CSR)と同じ名前です秘密鍵はCitrix Gatewayの nsconfig sslディレクトリにあります

8 秘密キーを選択し[開く]をクリックします


Citrix Gateway 130

9 証明書が PEM形式の場合は[パスワード]に秘密キーのパスワードをします10 証明書の有効期限が切れたときの通知を構成する場合は[有効期限が切れたときに通知]を選択します11 [通知期間]に数をし[作成][閉じる]の順にクリックします

証明書と秘密キーを仮想サーバーにバインドするには

証明書と秘密キーのペアを作成してリンクしたら仮想サーバーにバインドします

1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします

2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [証明書]タブの [使可能]で証明書を選択し[追加]をクリックし[OK]をクリックします

仮想サーバーからテスト証明書をバインド解除するには

署名付き証明書をインストールした後仮想サーバーにバインドされているテスト証明書のバインドを解除します構成ユーティリティーを使してテスト証明書のバインドを解除できます


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [証明書]タブの [構成済み]でテスト証明書を選択し[削除]をクリックします


中間証明書の構成

March 26 2020

中間証明書はCitrix Gateway（サーバー証明書）とルート証明書（通常はユーザーデバイスにインストールされます）の間にある証明書です中間証明書はチェーンの部です

組織によっては組織単位間の地理的分離の問題を解決するためにまたは組織の異なるセクションに異なる発ポリシーを適するために証明書を発する責任を委任します

証明書を発する責任は下位の証明機関 (CA)を設定することで委任できますCAは独の証明書に署名することも (署名付き)別の CAによって署名することもできますX509標準にはCAの階層を設定するためのモデルが含まれていますこのモデルでは次の図にすようにルート CAは階層の最上位にありCAによる署名証明書ですルート CAに直接従属する CAにはルート CAによって署名された CA証明書があります階層内の下位 CAの下位 CAには下位 CAによって署名された CA証明書があります


Citrix Gateway 130

図 1般的なデジタル証明書チェーンの階層構造をす X509モデル

サーバ証明書が署名証明書を持つ CAによって署名されている場合証明書チェーンはエンドエンティティ証明書とルート CAの 2つの証明書で構成されますユーザーまたはサーバー証明書が中間 CAによって署名されている場合証明書チェーンはくなります

次の図は最初の 2つの要素がエンドエンティティ証明書（この場合は gwy01companycom）と中間 CAの証明書をこの順序でしています中間 CAの証明書の後にはその CAの証明書が続きますこの覧はリストの最後の証明書がルート CAの証明書になるまで続きますチェーン内の各証明書は前の証明書の IDを証明します

図 2般的なデジタル証明書チェーン

中間証明書をインストールするには


2 詳細ペインで［Install］をクリックします3 [証明書とキーのペア名]に証明書の名前をします4 [詳細]の [証明書ファイル名]で[参照] (アプライアンス)をクリックしドロップダウンボックスで [ローカル]または [アプライアンス]を選択します

5 コンピュータ（ローカル）または Citrix Gateway（アプライアンス）上の証明書に移動します6「証明書の形式」で「PEM」を選択します7 [インストール]をクリックし[閉じる]をクリックします

Citrix Gatewayに中間証明書をインストールする場合秘密鍵やパスワードを指定する必要はありません

証明書がアプライアンスにインストールされたら証明書をサーバー証明書にリンクする必要があります

中間証明書をサーバー証明書にリンクするには


2 詳細ウィンドウでサーバー証明書を選択し[操作]で [リンク]をクリックします3 [CA証明書名]の横にある覧から中間証明書を選択し[OK]をクリックします


認証にデバイス証明書を使する

April 9 2020


Citrix Gateway 130

Citrix Gatewayではデバイス IDを証明書の秘密キーにバインドできるデバイス証明書チェックがサポートされていますデバイス証明書チェックは従来の EPAポリシーまたは度な EPAポリシーの部として設定できます従来の EPAポリシーではデバイス証明書は事前認証 EPAに対してだけ設定できます

Citrix Gatewayに 2つ以上のデバイス証明書をインストールする場合ユーザーが Citrix Gatewayへのログオンを開始するときまたはエンドポイント分析スキャンを実する前に正しい証明書を選択する必要があります

デバイス証明書を作成するときはX509証明書である必要があります

重要 Windowsではデフォルトでデバイス証明書にアクセスするための管理者権限が義務されています管理者以外のユーザのデバイス証明書チェックを追加するにはVPNプラグインをインストールする必要がありますVPNプラグインのバージョンはデバイス上の EPAプラグインと同じバージョンである必要があります

デバイス証明書の作成の詳細については以下を参照してください

bull Active Directory証明書サービス (AD CS)のネットワークデバイス登録サービス (NDES)を参照してください

bull Microsoft System Center web サイトの構成マネージャーの PKI 証明書の展開順の例WindowsServer 2008証明機関を参照してください

bull DCERPC および Active Directory 証明書プロファイルペイロードを使してMicrosoft CertificateAuthorityから証明書を要求する法をアップルのサポートウェブサイトでご確認ください

bull iPadiPhoneの証明書発「ディレクトリサービスチームに問い合わせるMicrosoftサポートブログ」を参照してください

bull ネットワークデバイス登録サービスの設定を参照してください

従来の EPAポリシーの仮想サーバーでデバイス証明書を有効にしてバインドするには

デバイス証明書を作成したらCitrix Gateway への既存の証明書のインポートとインストールの順に従ってCitrix Gatewayに証明書をインストールします証明書をインストールした後証明書を仮想サーバーにバインドします

1 構成ユーティリティで［Citrix Gateway］gt［仮想サーバー］に移動します2 詳細ウィンドウで仮想サーバーをクリックし[編集]をクリックします3 仮想サーバーの詳細ウィンドウで鉛筆アイコンをクリックし[詳細]を展開します4 [デバイス証明書を有効にする]を選択します5 表される選択ダイアログで[ Add ]を選択し有効にするデバイス証明書をクリックします選択したデバイス証明書の隣にあるプラス記号のアイコンをクリックし[ OK]をクリックします

注度な EPAポリシーの仮想サーバー上でデバイス証明書を有効化およびバインドする法についてはEPAコンポーネントとしての nFactorでのデバイス証明書を参照してください



Citrix Gateway 130

既存の証明書のインポートとインストール

April 9 2020

既存の証明書はインターネットインフォメーションサービス（IIS）を実しているWindowsベースのコンピュータからまたは Secure Gatewayを実しているコンピュータからインポートできます

証明書をエクスポートするときは秘密キーもエクスポートしてください場合によっては秘密キーをエクスポートできないためCitrix Gatewayに証明書をインストールできないことがありますこのような場合は証明書署名要求 (CSR)を使して新しい証明書を作成します詳しくは「証明書署名要求の作成」を参照してください

証明書と秘密キーをWindowsからエクスポートするとコンピューターによって個情報交換 (pfx)ファイルが作成されますこのファイルはPKCS 12証明書として Citrix Gatewayにインストールされます

Secure Gatewayを Citrix Gateway Gatewayに置き換える場合は証明書と秘密鍵を Secure GatewayからエクスポートできますSecure Gatewayから Citrix Gateway Gatewayへのインプレース移をう場合はアプリケーションとアプライアンスの完全修飾ドメイン名（FQDN）が同じである必要がありますSecure Gatewayから証明書をエクスポートするとすぐに Secure Gatewayを破棄しCitrix Gatewayに証明書をインストールしてから構成をテストしますFQDNが同じであればネットワーク上で Secure Gatewayと Citrix Gatewayを同時に実することはできません

Windows Server 2003またはWindows Server 2008を使している場合はMicrosoft Management Con-soleを使して証明書をエクスポートできます詳細についてはWindowsオンラインヘルプを参照してください

他のすべてのオプションのデフォルト値をそのまま使しパスワードを定義してpfxファイルをコンピューターに保存します証明書をエクスポートしたらCitrix Gatewayにインストールします

証明書と秘密キーを Citrix Gatewayにインストールするには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします

3 [次へ]をクリックし既存の仮想サーバーを選択して[次へ]をクリックします

4 [証明書オプション]で[PKCS 12 (pfx)ファイルをインストールする]を選択します

5 [PKCS 12ファイル名]で[参照]をクリックし証明書に移動し[選択]をクリックします

6 [パスワード]に秘密キーのパスワードをします

これは証明書を PEM形式に変換するときに使したパスワードです

7［次へ］をクリックして他の設定を変更せずに Citrix Gatewayウィザードを終了します


Citrix Gateway 130

証明書が Citrix Gatewayにインストールされると証明書は構成ユーティリティの［SSL］gt［証明書］ノードに表されます

秘密キーを作成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]をクリックします

2 詳細ペインの [SSLキー]で[RSAキーの作成]をクリックします

3 [Key Filename]にプライベートキーの名前をするか[Browse]をクリックして既存のファイルに移動します

4 [キーサイズ (ビット)]に秘密キーのサイズをします

5 [公衆指数]で[F4]または [3]を選択します

RSAキーの公開指数値これは暗号アルゴリズムの部でありRSAキーの作成に必要です値は F4 (16進数0x10001)または 3 (16進数0x3)ですデフォルトは F4です

6 [キー形式]で[PEM]または [DER]を選択します証明書には PEM形式をお勧めします

7 [PEMエンコーディングアルゴリズム]で[DES]または [DES3]を選択します

8 [PEMパスフレーズ]および [パスフレーズの検証]にパスワードをし[作成][閉じる]の順にクリックします

注パスフレーズを割り当てるには[Key Format]が PEMである必要がありエンコードアルゴリズムを選択する必要があります

構成ユーティリティで DSA秘密キーを作成するには[DSAキーの作成]をクリックします上記の同じ順に従って DSA秘密キーを作成します


証明書を PFX形式から PEM形式に変換する

March 26 2020

SSL証明書はSSL負荷分散仮想サーバーおよび Citrix Gateway仮想サーバーに使されますPEM証明書はBase64でエンコードされた ASCIIファイルですPEM証明書はテキストエディタメモ帳で開くことができそれらには「mdashndashBEGIN CERTIFICATEmdashndash」および「mdashndashEND CERTIFICATEmdashndash」ステートメントが含まれていることがわかります

セキュアで信頼できるアクセスのためにはCitrix Gatewayサーバーに SSLサーバー証明書をインストールする必要がありますアップロードされた証明書ファイルには次の特性が必要です


Citrix Gateway 130

bull サーバー証明書はエンドユーザーが信頼する証明機関 (CA)によって発されている必要があります最良の結果を得るにはベリサインThawteジオトラストなどの商 CAを使してください

bull 証明書はプライバシー拡張メール (PEM)形式である必要がありますこれはバイナリ識別符号化規則(DER)形式の Base64エンコーディングであるテキストベースの形式です

bull 証明書ファイルに秘密キーを含める必要があり秘密キーを暗号化しないでくださいPEMファイルを使するためにパスワードは必要ありません

bull 必要な中間証明書も PEMファイルの末尾に追加する必要があります

PFX証明書を PEM形式に変換して Citrix Gatewayで使するには次のいずれかの順を実します

Citrix GatewayウィザードCitrix Gatewayウィザードを使して PFX証明書を PEM形式に変換するには以下の順を実します

1「トラフィック管理」に移動し「SSL」ノードを選択します

2 [PKCS 12のインポート]リンクをクリックします

3 PEM証明書のファイル名を [出ファイル名]フィールドに指定します

4 [参照] をクリックしPEM 形式に変換する PFX 証明書を選択します部のユーザーは証明書をncsonfigSSL ディレクトリにアップロードしそこから使することを好みますPFX 証明書がCitrix Gatewayに保存されている場合は［アプライアンス］オプションを選択しワークステーションに保存されている場合は［ローカル］を使します

5「インポートパスワード」を指定します

6［OK］をクリックします

7 ファイルがエンコードされている場合はエンコード形式として DESまたは 3DESを選択します

8 [PEMパスフレーズ]と [PEMパスフレーズの確認]を指定します

9 [証明書キー CSRの管理]リンクをクリックして変換された PEM証明書ファイルを表します

10 変換された PEMファイルと共にアップロードされた PFXファイルを表できます

11 [SSL]ノードを展開します

12「証明書」ノードを選択します

13［Install］をクリックします

14 証明書のインストールウィザードで証明書とキーのペア名を指定します

15 証明書ファイル名と秘密キーファイル名の両の PEMファイルを参照します

16 パスワードを指定します



Citrix Gateway 130

オープン SSLユーティリティ

インターネットインフォメーションサービス (IIS)証明書ウィザードを使してWindowsサーバーに証明書を要求してインストールした場合はその証明書を秘密キーとともに個情報交換 (PFX)ファイルにエクスポートできますこの証明書を Citrix GatewayにインポートするにはPFXファイルを暗号化されていない PEM形式に変換する必要があります

オープンソースユーティリティ OpenSSLを使してPFXから PEMへの変換を実できますオープン SSLのWin32ディストリビューションをダウンロードします

OpenSSLを使する場合はC++の再配布可能ファイルが必要になることもありますMicrosoft Visual C++2008再頒布可能パッケージ (x86)からダウンロードします

PFXファイルを PEMファイルに変換するにはWindowsマシンで次の順を実します

1 ダウンロードしてWin32 OpenSSLからパッケージをインストールします

2 ccertsフォルダを作成しccertsフォルダに yourcertpfxファイルをコピーします

3 コマンドプロンプトを開きOpenSSLbin directory homedriveOpenSSLbinに変更します

4 次のコマンドを実してPFXファイルを暗号化されていない PEMファイルに変換します (すべて 1で)openssl pkcs12-in ccertsyourcertpfx-out ccertscagpem mdashnodes

5 インポートパスワードのを求められたら証明書を PFXファイルにエクスポートするときに使したパスワードをしますMACが確認済みであることをすメッセージが表されます

6 Citrix Gateway 管理ポータルまたは HTTPS ポート 9001 をブラウザに指定しますhttpsnetscaler-gateway-server9001

7 rootとしてログオンしますデフォルトのパスワードは rootadminです

8 ページ上部の [メンテナンス]リンクをクリックします

9 [秘密鍵 + 証明書 (pem) のアップロード] フィールドの横にある [参照] ボタンをクリックしますccertscagpemファイルを参照し[アップロード]をクリックします

10 新しい SSL証明書を適するにはCitrix Gatewayを再起動します


証明書失効リスト

March 26 2020


Citrix Gateway 130

認証局 (CA)は時折証明書失効リスト (CRL)を発しますCRLには信頼できなくなった証明書に関する情報が含まれていますたとえばアンが XYZ社を離れるとします同社はアンの証明書を CRLに配置してそのキーでメッセージに署名できないようにすることができます

同様に秘密キーが侵害された場合または証明書の有効期限が切れて新しい証明書が使されている場合に証明書を取り消すことができます公開キーを信頼する前に証明書が CRLに表されていないことを確認してください

Citrix Gatewayでは次の 2つの CRLタイプがサポートされています

bull 失効したまたは有効でなくなった証明書を覧表する CRLbull オンライン証明書ステータスプロトコル（OSCP）X509証明書の失効ステータスを取得するために使されるインターネットプロトコル

CRLを追加するには

Citrix Gatewayアプライアンスで CRLを構成する前にCRLファイルがアプライアンス上にローカルに保存されていることを確認してください可性セットアップの場合CRLファイルは両の Citrix Gatewayアプライアンスに存在しファイルへのディレクトリパスは両のアプライアンスで同じである必要があります

CRLを更新する必要がある場合は次のパラメータを使できます

bull CRL名Citrix ADCに追加される CRLの名前最 31字ですbull CRLファイルCitrix ADCに追加される CRLファイルの名前ですデフォルトではvarnetscalersslディレクトリ内の CRLファイルが検索されます最 63字です

bull URL最 127字bull ベース DN最 127字bull バインド DN最 127字bull パスワード最 31字bull 最 31

1 構成ユーティリティの [構成]タブで[SSL]を展開し[CRL]をクリックします2 詳細ウィンドウで[追加]をクリックします3 [Add CRL]ダイアログボックスで次の値を指定します

bull CRL名bull CRLファイルbull フォーマット (オプション)bull CA証明書（オプション）

4［Create］をクリックしてから［Close］をクリックしますCRL詳細ペインで構成した CRLを選択し画の下部に表される設定が正しいことを確認します


Citrix Gateway 130

構成ユーティリティで LDAPまたはHTTPを使して CRL動リフレッシュを構成するには

CRLはCAによって定期的にまたは場合によっては特定の証明書が失効した直後に成および発されますCitrix Gatewayアプライアンスで CRLを定期的に更新して無効な証明書で接続しようとするクライアントから保護することをお勧めします

Citrix GatewayアプライアンスはWebロケーションまたは LDAPディレクトリから CRLを更新できます更新パラメータとWebの場所または LDAPサーバーを指定する場合コマンドの実時にローカルハードディスクドライブに CRLが存在する必要はありません最初の更新ではCRL Fileパラメーターで指定されたパスにローカルハードディスクドライブにコピーが格納されますCRLを保存するためのデフォルトのパスは varnetscalerslです

CRLリフレッシュパラメータ

bull CRL名

Citrix Gatewayで更新される CRLの名前

1 CRL 動更新の有効化

CRL動更新を有効または無効にします

1 CA証明書

CRLを発した CAの証明書この CA証明書はアプライアンスにインストールする必要がありますCitrix ADCは証明書がインストールされている CAからのみ CRLを更新できます

1 法

Webサーバ（HTTP）または LDAPサーバから CRLリフレッシュを取得するプロトコル指定可能な値HTTPLDAPデフォルトはHTTPです

1 スコープ

LDAPサーバーでの検索操作の範囲指定したスコープがBaseの場合検索はベース DNと同じレベルになります指定されたスコープが「One」の場合検索はベース DNの 1レベル下まで拡張されます

bull サーバー IP


Citrix Gateway 130

CRLの取得元となる LDAPサーバの IPアドレスIPv6 IPアドレスを使するには[IPv6]を選択します

1 ポート

LDAPまたはHTTPサーバーが通信するポート番号

1 URL

CRLの取得元となるWebロケーションの URL

1 ベース DN

LDAPサーバが CRL属性を検索するために使するベース DN注LDAPサーバーで CRLを検索するにはCA証明書の発元名ではなくベース DN属性を使することをお勧めしますIssuer-Nameフィールドが LDAPディレクトリ構造の DNと正確に致しない場合があります

bull バインド DN

LDAPリポジトリ内の CRLオブジェクトにアクセスするために使されるバインド DN属性バインドDNアトリビュートはLDAPサーバの管理者クレデンシャルですLDAPサーバへの不正アクセスを制限するにはこのパラメータを設定します

1 パスワード

LDAPリポジトリ内の CRLオブジェクトへのアクセスに使する管理者パスワードこれはLDAPリポジトリへのアクセスが制限されている場合つまり匿名アクセスが許可されていない場合に必要です

1 間隔

CRLリフレッシュを実する間隔CRLを瞬時に更新する場合は間隔をNOWとして指定します可能な値MONTHLYDAILYWEEKLYNOWNONE

1


Citrix Gateway 130

CRL更新を実する間隔が DAILYに設定されている場合このオプションは使できません

1 時間

CRL更新を実する時刻を 24時間形式で指定します

1 バイナリ

LDAPベースの CRL取得モードをバイナリに設定します指定可能な値はいいいえデフォルトNO

1 ナビゲーションウィンドウで[SSL]を展開し[CRL]をクリックします2 更新パラメータを更新する設定済みの CRLを選択し[Open]をクリックします3 [CRL動更新を有効にする]オプションを選択します4「CRL動リフレッシュパラメータ」グループで次のパラメータの値を指定します注意アスタリスク（）は必須パラメータをします

bull 法bull バイナリbull Scopebull Server IPbull Portbull URLbull Base DNbull Bind DNbull Passwordbull Intervalbull Day(s)bull Time

5［作成］をクリックします[CRL]ペインで構成した CRLを選択し画の下部に表される設定が正しいことを確認します


OCSPによる証明書ステータスのモニタリング

March 26 2020

オンライン証明書状態プロトコル (OCSP)はクライアントの SSL証明書の状態を決定するために使されるインターネットプロトコルですCitrix GatewayはRFC 2560で定義されている OCSPをサポートしていますOCSP


Citrix Gateway 130

にはタイムリーな情報という点で証明書失効リスト (CRL)よりもきな利点がありますクライアント証明書の最新の失効ステータスは多額の銭や価値のい株式取引を含む取引で特に役ちますまた使するシステムリソースとネットワークリソースも少なくなりますCitrix Gatewayの OCSP実装にはリクエストのバッチ処理とレスポンスのキャッシュが含まれます

Citrix GatewayのOCSP実装

Citrix GatewayアプライアンスでのOCSP検証はSSLハンドシェイク中に Citrix Gatewayがクライアント証明書を受信したときに開始されます証明書を検証するためにCitrix Gatewayは OCSPリクエストを作成しそのリクエストを OCSPレスポンダーに転送しますそのためにはCitrix Gatewayがクライアント証明書から OCSPレスポンダーの URLを抽出するかローカルに構成された URLを使しますCitrix Gatewayがサーバーからの応答を評価しトランザクションを許可するか拒否するかを決定するまでトランザクションは中断状態になりますサーバーからの応答が構成された時間を超えて遅延し他の応答者が構成されていない場合Citrix GatewayではOCSPチェックをオプションまたは必須のどちらに設定したかに応じてトランザクションが許可されるかエラーが表されますCitrix GatewayはOCSPリクエストのバッチ処理と OCSPレスポンダーのキャッシュをサポートしOCSPレスポンダーの負荷を軽減し応答を速化します

OCSP要求のバッチ処理

Citrix Gatewayはクライアント証明書を受信するたびにOCSPレスポンダーに要求を送信しますOCSPレスポンダーの過負荷を回避するためにCitrix Gatewayでは同じリクエストで複数のクライアント証明書の状態を問い合わせることができます要求のバッチ処理が効率的に機能するためにはバッチの形成を待っている間に単の証明書の処理が遅れることがないようにタイムアウトを定義する必要があります

OCSP応答キャッシュ

OCSPレスポンダから受信した応答をキャッシュするとユーザへの応答が速になりOCSPレスポンダの負荷が軽減されますクライアント証明書の失効ステータスを OCSPレスポンダーから受信するとCitrix Gatewayは事前に定義された時間だけ応答をローカルにキャッシュしますSSLハンドシェイク中にクライアント証明書を受信するとCitrix Gatewayはまずローカルキャッシュにこの証明書のエントリを確認します（キャッシュのタイムアウト制限内で）有効なエントリがつかった場合エントリが評価されクライアント証明書が受けれられるか拒否されます証明書がつからない場合Citrix Gatewayは OCSPレスポンダーにリクエストを送信しそのレスポンスをローカルキャッシュに保存します



Citrix Gateway 130

OCSP証明書ステータスの設定

March 26 2020

オンライン証明書状態プロトコル (OCSP)の構成にはOCSP応答側の追加OCSP応答側の認証局 (CA)からの署名付き証明書へのバインドおよび証明書と秘密キーのセキュアソケットレイヤー (SSL)仮想サーバーへのバインドが含まれますすでに設定したOCSPレスポンダーに別の証明書と秘密キーをバインドする必要がある場合はまずレスポンダーのバインドを解除してからレスポンダーを別の証明書にバインドする必要があります

OCSPを設定するには

1 [構成]タブのナビゲーションウィンドウで [SSL]を展開し[OCSPレスポンダー]をクリックします

2 詳細ウィンドウで[追加]をクリックします

3 [名前]にプロファイルの名前をします

4 [URL]にOCSPレスポンダのWebアドレスをします

このフィールドは必須ですWebアドレスは 32字以下にする必要があります

5 OCSPレスポンスをキャッシュするには［キャッシュ］をクリックし［タイムアウト］に Citrix Gatewayがレスポンスを保持する分数をします

6 [要求のバッチ処理]で[有効化]をクリックします

7「バッチ処理の遅延」でOCSP要求のグループのバッチ処理に許可される時間をミリ秒単位で指定します

値の範囲は 0〜 10000ですデフォルトは 1です

8［時間スキュー時に成］にアプライアンスが応答を確認または受けれる必要がある場合にCitrix Gatewayが使できる時間をします

9 OCSPレスポンダによる署名チェックを無効にするには[応答の検証]で [応答の信頼性]を選択します

応答を信頼できるようにする場合は順 8と順 9をスキップします

10 [証明書]でOCSP応答の署名に使する証明書を選択します

証明書が選択されていない場合OCSPレスポンダがバインドされている CAを使して応答を検証します

11 [要求タイムアウト]にOCSP応答を待機するミリ秒数をします

この時間にはバッチ処理遅延時間が含まれます値の範囲は 0〜 120000ですデフォルトは 2000です

12 [署名証明書]でOCSP要求の署名に使する証明書と秘密キーを選択します証明書と秘密キーを指定しない場合要求は署名されません

13 1回だけ使される番号（nonce）拡張を有効にするには[Nonce]を選択します


Citrix Gateway 130

14 クライアント証明書を使するには[クライアント証明書の挿]をクリックします

15［Create］をクリックしてから［Close］をクリックします


Citrix Gateway構成のテスト

March 26 2020

Citrix Gatewayで初期設定を構成したらアプライアンスに接続して設定をテストできます

Citrix Gateway の設定をテストするにはローカルユーザーアカウントを作成します次に仮想サーバーのIP アドレスまたはアプライアンスの完全修飾ドメイン名（FQDN）のいずれかを使してWeb ブラウザを開きWebアドレスをしますたとえばアドレスバーにhttpsmycompanycomまたはhttps19216896183とします

ログオン画で前に作成したユーザーアカウントのユーザー名とパスワードをしますログオンするとCitrixGatewayプラグインをダウンロードしてインストールするように求められます

Citrix Gatewayプラグインをインストールして接続するとアクセスインターフェイスが表されますアクセスインターフェイスはCitrix Gatewayのデフォルトのホームページです

構成ユーティリティを使した新しいユーザーアカウントの作成

1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway] gt [ユーザー管理]の順に展開し[AAAユーザー]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4 ローカル認証を使する場合は[外部認証]チェックボックスをオフにしますLDAPや RADIUSなどの外部認証タイプを使したユーザの認証がデフォルトですこのチェックボックスをオフにするとCitrixGatewayはユーザーを認証します

5 [パスワード]と [パスワードの確認]でユーザーのパスワードをし[作成]をクリックし[閉じる]をクリックします

構成ユーティリティを使してユーザーを追加する場合次のポリシーをユーザーにバインドできます

bull 承認bull トラフィックセッション監査bull ブックマークbull イントラネットアプリケーションbull イントラネット IPアドレス


Citrix Gateway 130

テストユーザーアカウントでのログオンで問題が発した場合は次の点を確認してください

bull 証明書の警告が表された場合はテスト証明書または無効な証明書が Citrix Gatewayにインストールされます認証局（CA）によって署名された証明書がアプライアンスにインストールされている場合はユーザーデバイスに対応するルート証明書があることを確認してください

bull CA署名付き証明書を使した場合は署名付き証明書署名要求 (CSR)を使してサイト証明書を正しく成したこととCSRにされた識別名 (DN)データが正確であることを確認します問題はホスト名が署名付き証明書の IPアドレスと致しないこともあります構成済み証明書の共通名が構成済みの仮想サーバーの IPアドレス情報に対応していることを確認します

bull ログオン画が表されない場合や他のエラーメッセージが表された場合はセットアッププロセスを確認しすべての順を正しく実しすべてのパラメータを正確にしたことを確認します


仮想サーバーの作成

March 26 2020

仮想サーバーはユーザーがログオンするアクセスポイントです各仮想サーバには独の IPアドレス証明書およびポリシーセットがあります仮想サーバは着信トラフィックを受けれる IPアドレスポートおよびプロトコルの組み合わせで構成されます仮想サーバーにはユーザーがアプライアンスにログオンするときの接続設定が含まれます仮想サーバーでは次の設定を構成できます

bull 証明書bull 認証bull ポリシーbull ブックマークbull アドレスプール (IPプールまたはイントラネット IPとも呼ばれます)bull Citrix Gatewayを使したダブルホップ DMZ展開bull Secure Ticket Authoritybull SmartAccess ICAプロキシセッション転送

Citrix Gatewayウィザードを実するとウィザード中に仮想サーバーを作成できます追加の仮想サーバは次の法で構成できます

bull 仮想サーバノードからこのノードは構成ユーティリティのナビゲーション区画にあります構成ユーティリティを使して仮想サーバーを追加編集および削除できます

bull クイック構成ウィザードを使しますCitrix Endpoint ManagementStoreFrontまたはWeb Interfaceを環境内に展開する場合はクイック構成ウィザードを使して仮想サーバーと展開に必要なすべてのポリシーを作成できます


Citrix Gateway 130

ユーザーがログオンして RADIUSなどの特定の認証タイプを使できるようにするには仮想サーバーを構成しサーバーに意の IPアドレスを割り当てますユーザーがログオンすると仮想サーバーに送信されRADIUS資格情報のが求められます

またユーザーが Citrix Gatewayにログオンする法を構成することもできますセッションポリシーを使してユーザーソフトウェアの種類アクセス法およびログオン後にユーザーに表されるホームページを構成できます


追加の仮想サーバーを作成するには

April 9 2020

構成ユーティリティまたはクイック構成ウィザードのナビゲーションウィンドウにある仮想サーバーノードを使して仮想サーバーの追加変更有効化無効化および削除をうことができますクイック構成ウィザードを使した仮想サーバの構成の詳細についてはConfiguring Settings with the Quick Configuration Wizardを参照してください

構成ユーティリティを使して仮想サーバーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 必要な設定を構成し[作成][閉じる]の順にクリックします


仮想サーバでの接続タイプの設定

March 26 2020

仮想サーバーを作成および構成するときに次の接続オプションを構成できます

bull Citrix Workspaceアプリとの接続はSmartAccessエンドポイント分析またはネットワーク層トンネリング機能を使しないCitrix Virtual Apps and Desktopsにのみえます

bull Citrix Gatewayプラグインと SmartAccessとの接続これによりSmartAccessエンドポイント分析ネットワーク層トンネリング機能を使できます


Citrix Gateway 130

bull モバイルデバイスから Citrix Gatewayへのマイクロ VPN接続を確する Secure Hubとの接続bull 複数のデバイスからユーザーが ICAセッションプロトコルを介してわれる並列接続複数のユニバーサルライセンスを使できないように接続は単のセッションに移されます

ユーザソフトウェアを使せずにユーザがログオンできるようにするにはクライアントレスアクセスポリシーを設定してそれを仮想サーバにバインドします

仮想サーバー上で基本接続または SmartAccess接続を構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4 [IPアドレス]と [ポート]に仮想サーバーの IPアドレスとポート番号をします5 次のいずれかをいます

bull ICA接続のみを許可するには[基本モード]をクリックしますbull Secure HubCitrix Gatewayプラグインおよび SmartAccessを使したユーザーのログオンを許可するには［SmartAccessモード］をクリックします

bull SmartAccessが複数のユーザー接続の ICAプロキシセッションを管理できるようにするには［ICAプロキシセッションの移］をクリックします

6 仮想サーバーのその他の設定を構成し[作成][閉じる]の順にクリックします


ワイルドカード仮想サーバに対するリッスンポリシーの設定

March 26 2020

Citrix Gateway仮想サーバーを構成して仮想サーバーが特定の仮想ローカルエリアネットワーク（VLAN）をリッスンする機能を制限できます指定された VLAN上のトラフィックを処理するように制限するリッスンポリシーを使してワイルドカード仮想サーバを作成できます

構成パラメータは次のとおりです


Citrix Gateway 130

パラメーター説明

名前仮想サーバーの名前この名前は必須であり仮想サーバーを作成した後は変更できません名前は 127字以内で最初の字は数字または字でなければなりませんまたアット記号 ()アンダースコア(_)ダッシュ (-)ピリオド ()コロン ()シャープ記号 ()スペースも使できます

IP 仮想サーバの IPアドレスVLANにバインドされたワイルドカード仮想サーバの場合値は常にです

種類サービスの動作選択肢はHTTPSSLFTPTCPSSL_TCPUDPSSL_ブリッジNNTPDNS任意のSIP-UDPDNS-TCPおよび RTSPです

ポート仮想サーバーがユーザー接続をリッスンするポートポート番号は 0〜 65535である必要がありますVLANにバインドされたワイルドカード仮想サーバの場合値は通常です

リッスン優先度リッスンポリシーに割り当てられているプライオリティプライオリティは逆の順序で評価されます番号がさいほどリッスンポリシーに割り当てられるプライオリティがくなります

リッスンポリシールール仮想サーバがリッスンする VLANの識別に使するポリシールールルールはCLIENTVLANIDEQ(ltipaddressatgt)ですltipaddressatgtではVLANに割り当てられた ID番号を置き換えます

リッスンポリシーを使してワイルドカード仮想サーバーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4「プロトコル」でプロトコルを選択します5 [IPアドレス]に仮想サーバーの IPアドレスをします6 [ポート]に仮想サーバーのポートをします7 [詳細設定]タブの [リッスンポリシー]の [リッスンの優先度]にリッスンポリシーの優先度をします8 [リッスンポリシールール]の横にある [設定]をクリックします9 [式を作成]ダイアログボックスで[追加]をクリックして式を設定し[OK]をクリックします


Citrix Gateway 130



Citrix Gatewayでの IPアドレスの構成

March 26 2020

構成ユーティリティおよびユーザー接続にログオンするように IPアドレスを構成できますCitrix Gatewayは管理アクセスにデフォルトの IPアドレス 1921681001とサブネットマスク 25500で構成されますデフォルトの IPアドレスはシステム IP（NSIP）アドレスにユーザーが構成した値が存在しないときに使されます

bull NSIPアドレスアプライアンスへのすべての管理関連アクセスに使される Citrix Gatewayの管理 IPアドレスCitrix GatewayではNSIPアドレスも認証に使されます

bull デフォルト Gatewayセキュリティで保護されたネットワークの外部から Citrix Gatewayにトラフィックを転送するルーター

bull サブネット IP（SNIP）アドレスセカンダリネットワーク上のサーバと通信することによりユーザーデバイスを表す IPアドレスこれはマッピング IP（MIP）アドレスに似ています

SNIPアドレスは 1024〜 64000のポートを使します

Citrix Gatewayで IPアドレスを使する法

Citrix Gatewayは発している機能に基づいてIPアドレスからのトラフィックをソースします以下のリストでは般的なガイドラインとしてCitrix Gatewayがそれぞれの IPアドレスを使する法について説明します

bull 認証Citrix GatewayはSNIPアドレスを使しますbull ホームページからのファイル転送Citrix GatewayはSNIPアドレスを使しますbull DNSクエリとWINSクエリCitrix GatewayはMIPアドレスまたは SNIPアドレスのいずれかを使します

bull セキュアなネットワーク内のリソースへのネットワークトラフィックCitrix Gateway ではCitrixGatewayの構成に応じてMIPアドレスSNIPアドレスまたは IPプールが使されます

bull ICAプロキシ設定Citrix GatewayはMIPアドレスまたは SNIPアドレスを使します



Citrix Gateway 130

マッピングされた IPアドレスの変更または削除

March 26 2020

Citrix Gatewayでは1つのマッピングされた IPアドレスがサポートされますアプライアンスで 1つのマッピング IPアドレスを設定した場合アドレスを変更または削除することはできませんマッピング IPアドレスを変更する必要がある場合は最初に新しいマッピング IPアドレスを作成してから元のマッピング IPアドレスを削除します

設定ユーティリティの [セットアップウィザード]または [ネットワーク]ノードを使してマップされた IPアドレスを追加構成できます

新しいマッピング IPアドレスを作成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム] gt [ネットワーク]を展開し[IP]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [IPの作成]ダイアログボックスの [IPアドレス]に IPアドレスをします4 [ネットマスク]にサブネットマスクをします5 [IPタイプ]で [マップ済み IP]を選択し[作成]をクリックします

マッピング IPアドレスを削除するには


2 詳細ウィンドウでマッピングアドレスをクリックし[削除]をクリックします


サブネット IPアドレスの設定

March 26 2020

サブネット IPアドレスによりユーザーは別のサブネット上にある外部ホストから Citrix Gatewayに接続できますサブネット IPアドレスを追加すると対応するルートエントリがルートテーブル内に作成されますサブネットごとに作成されるエントリは 1つだけですルートエントリはサブネットで最初に追加された IPアドレスに対応します


Citrix Gateway 130

システム IPアドレスとマッピングされた IPアドレスとは異なりCitrix Gatewayの初期構成時にサブネット IPアドレスを指定する必要はありません

マッピングされた IPアドレスとサブネット IPアドレスは1024〜 64000のポートを使します

サブネット IPアドレスを追加するには


2 詳細ウィンドウで[追加]をクリックします3 [IPの作成]ダイアログボックスの [IPアドレス]に IPアドレスをします4 [ネットマスク]にサブネットマスクをします5 [IPタイプ]で[サブネット IP]を選択し[閉じる][作成]の順にクリックします


ユーザ接続の IPv6の設定

March 26 2020

インターネットプロトコルバージョン 6（IPv6）を使してユーザー接続をリッスンするように Citrix Gatewayを構成できます次のいずれかの設定を構成する場合は[IPv6]チェックボックスをオンにしてダイアログボックスに IPv6アドレスをします

bull グローバル設定-公開アプリケーション-ICAプロキシbull グローバル認証-Radiusbull グローバル認証-LDAPbull グローバル認証-TACACSbull セッションプロファイル-公開アプリケーション-ICAプロキシbull Citrix Gateway仮想サーバーbull 認証サーバの作成-Radiusbull 認証サーバーの作成-LDAPbull 認証サーバの作成-TACACSbull 監査サーバーの作成bull 可性のセットアップbull 可性を実現するためのルートモニタのバインドバインド解除bull 仮想サーバ（負荷分散）


Citrix Gateway 130

IPv6アドレスでリッスンするように Citrix Gateway仮想サーバーを構成するとユーザーは Citrix Workspaceアプリでのみ接続できますCitrix Gatewayプラグインを使したユーザー接続はIPv6ではサポートされていません

Citrix Gatewayで IPv6を構成するには次のガイドラインを使できます

bull Citrix Virtual Apps Web Interface ユーザー接続に IPv6を構成しIPv6を使するマップされた IPアドレスがある場合Citrix Virtual AppsおよびWeb Interfaceサーバーでも IPv6を使できますWebInterfaceはCitrix Gatewayの背後にインストールする必要がありますユーザーが Citrix Gateway経由で接続するとIPv6アドレスは IPv4に変換されます接続が戻るとIPv4アドレスは IPv6に変換されます

bull 仮想サーバCitrix Gatewayウィザードを実するときに仮想サーバーの IPv6を構成できますCitrixGatewayウィザードの［仮想サーバー］ページで［IPv6］をクリックしIPアドレスをしますCitrixGatewayウィザードでは仮想サーバーの IPv6アドレスの構成のみを使できます

bull その他ICAプロキシ認証監査可性に IPv6を構成するにはダイアログボックスの「IPv6」チェックボックスを選択しIPアドレスをします


セキュリティで保護されたネットワークにある DNSサーバーの解決

April 9 2020

DNSサーバーがファイアウォールの背後にあるセキュリティで保護されたネットワークにありファイアウォールが ICMPトラフィックをブロックしている場合ファイアウォールが要求をブロックしているためサーバーへの接続をテストできませんこの問題を解決するには次の順を実します

bull 既知の完全修飾ドメイン名 (FQDN)に解決するカスタム DNSモニターを使して DNSサービスを作成するbull Citrix Gatewayで直接アドレス指定できない DNS仮想サーバーを作成するbull サービスを仮想サーバーにバインドする

注

bull DNS仮想サーバーと DNSサービスを構成するのはDNSサーバーがファイアウォールの内側にある場合だけです

bull Citrix ADC負荷分散ライセンスをアプライアンスにインストールすると［仮想サーバーとサービス］ノードはナビゲーションペインに表されませんこの順を実するには[負荷分散]を展開し[仮想サーバー]をクリックします


Citrix Gateway 130

DNSサービスと DNSモニターを構成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[仮想サーバーとサービス]を展開し[仮想サーバー]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]ボックスにサービスの名前をします4 [プロトコル]で[DNS]を選択します5 [IPアドレス]にDNSサーバーの IPアドレスをします6［Port］ボックスにポート番号をします7 [サービス]タブで[追加]をクリックします8 [モニター]タブの [使可能]で[dns][追加][作成][閉じる]の順にクリックします9 [仮想サーバーの作成 (負荷分散)]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします

次にDNS仮想サーバーを構成するにはの順を使して DNS仮想サーバーを作成しDNSサービスを仮想サーバーにバインドします

DNSサービスを DNS仮想サーバーにバインドするには

1 [仮想サービス (負荷分散)の構成]ダイアログボックスの [サービス]タブで[追加]をクリックしDNSサービスを選択し[作成]をクリックして [閉じる]をクリックします


DNS仮想サーバの構成

March 26 2020

DNS仮想サーバーを構成するには名前と IPアドレスを指定しますCitrix Gateway仮想サーバーと同様にDNS仮想サーバーに IPアドレスを割り当てる必要がありますただしユーザデバイスがすべての内部アドレスを解決できるようにこの IPアドレスはターゲットネットワークの内部側にある必要がありますDNSポートも指定する必要があります

注アプライアンスに Citrix ADC負荷分散ライセンスをインストールすると［仮想サーバーとサービス］ノードはナビゲーションペインに表されませんこの機能は負荷分散仮想サーバーを使して構成できます詳しくはCitrix eDocsの「Citrix ADC」のトピックを参照してください


Citrix Gateway 130

DNS仮想サーバーを構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4 [IPアドレス]にDNSサーバーの IPアドレスをします5 [ポート]にDNSサーバーがリッスンするポートをします6 [プロトコル]で [DNS]を選択し[作成]をクリックします

最後に展開環境のニーズに応じて次の 2つの法のいずれかを使してDNS仮想サーバーを Citrix Gatewayに関連付けます

bull サーバーを Citrix Gatewayにグローバルにバインドしますbull DNS仮想サーバーを仮想サーバーごとにバインドします

DNS仮想サーバをグローバルに展開するとすべてのユーザがそれにアクセスできます次にDNS仮想サーバーを仮想サーバーにバインドすることでユーザーを制限できます


ネームサービスプロバイダの設定

March 26 2020

Citrix Gatewayではネームサービスプロバイダーを使してWebアドレスを IPアドレスに変換します

Citrix Gatewayウィザードを実するとDNSサーバーまたはWINSサーバーを構成できます構成ユーティリティを使して追加の DNSサーバーまたはWINSサーバーを構成することもできます

DNSサーバーを Citrix Gatewayに追加するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワーク構成]タブで[追加]をクリックします4 [ネームサーバーの挿]ダイアログボックスの [IPアドレス]に DNSサーバーの IPアドレスをし[作成]をクリックし[閉じる]をクリックします

5 構成ユーティリティで [OK]をクリックします


Citrix Gateway 130

WINSサーバーを Citrix Gatewayに追加するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワークの構成]タブの [WINSサーバーの IP]にWINSサーバーの IPアドレスをし[OK]をクリックします

次にDNS仮想サーバー名と IPアドレスを指定しますCitrix Gateway仮想サーバーと同様にIPアドレスを仮想サーバーに割り当てる必要がありますただしユーザデバイスがすべての内部アドレスを適切に解決できるようにこの IPアドレスはターゲットネットワークの内部側にある必要がありますDNSポートも指定する必要があります

DNSサーバーとWINSサーバーを名前解決に構成する場合はCitrix Gatewayウィザードを使して最初に名前検索を実するサーバーを選択できます

名前ルックアップの優先順位を指定するには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3 [ネームサービスプロバイダ]ページが表されるまで[次へ]をクリックして現在の設定を受けれます4 [名前ルックアップの優先度]で[WINS]または [DNS]を選択しウィザードの最後に進みます


サーバ起動接続の構成

March 26 2020

IPアドレスが有効な状態で Citrix Gatewayにログオンする各ユーザーについてDNSサフィックスがユーザー名に追加されDNSアドレスレコードがアプライアンスの DNSキャッシュに追加されますこの法はユーザーのIPアドレスではなくDNS名をユーザーに提供するのに役ちます

ユーザーのセッションに IPアドレスを割り当てると内部ネットワークからユーザーのデバイスに接続することができますたとえばリモートデスクトップまたは仮想ネットワークコンピューティング（VNC）クライアントで接続しているユーザーはユーザーデバイスにアクセスして問題のアプリケーションを診断できますまた内部ネットワーク IPアドレスを持つ 2の Citrix GatewayユーザーがリモートでログオンしCitrix Gatewayを介して相互に通信することもできますアプライアンス上でログオンしているユーザーの内部ネットワーク IPアドレスを検出できるようにすることでこの通信に役ちます


Citrix Gateway 130

リモートユーザーは以下の pingコマンドを使してその時点で Citrix Gatewayにログオンできるユーザーの内部ネットワーク IPアドレスを検出できます

ピングアンドドロップサーバーは次の法でユーザーデバイスへの接続を開始できます- TCPまたはUDP接続接続は内部ネットワークの外部システムからまたは Citrix Gatewayにログオンしている別のコンピューターから発信できますこれらの接続にはCitrix Gatewayにログオンした各ユーザーデバイスに割り当てられた内部ネットワーク IPアドレスが使されますCitrix Gatewayがサポートするサーバー起動接続の種類を以下に説明しますTCPまたは UDPサーバーが開始する接続の場合サーバーはユーザーデバイスの IPアドレスとポートに関する事前知識を持ち接続をいますCitrix Gatewayはこの接続を傍受します次にユーザーデバイスがサーバーへの初期接続を確しサーバーは最初に構成されたポートから既知または派したポート上のユーザーデバイスに接続しますこのシナリオではユーザーデバイスはサーバーへの初期接続をいポートと IPアドレスはこの情報が埋め込まれているアプリケーション固有のプロトコルを使してサーバーと交換しますこれによりCitrix Gatewayはアクティブな FTP接続などのアプリケーションをサポートできるようになります-ポートコマンドこれはアクティブな FTPおよび特定の Voice over IPプロトコルで使されます-プラグイン間の接続Citrix Gatewayは内部ネットワーク IPアドレスを使してプラグイン間の接続をサポートしますこのタイプの接続では同じ Citrix Gatewayを使する 2つの Citrix Gatewayユーザーデバイスが相互に接続を開始できますこの種類の例としてOffice Communicatorや Yahoo などのインスタントメッセージングアプリケーションを使しますメッセンジャーユーザーが Citrix Gatewayをログオフしログオフ要求がアプライアンスに届かなかった場合ユーザーは任意のデバイスを使して再度ログオンし前のセッションを新しいセッションに置き換えることができますこの機能はユーザごとに 1つの IPアドレスが割り当てられる配置で役ちますユーザーが Citrix Gatewayに初めてログオンするとセッションが作成されIPアドレスが割り当てられますユーザーがログオフしてもログオフ要求が失われたりユーザーデバイスがクリーンログオフを実できなかった場合セッションはシステム上で維持されますユーザーが同じデバイスまたは別のデバイスから再度ログオンしようとすると認証に成功した後ログオンの転送ダイアログボックスが表されますユーザーがログオンを転送するとCitrix Gateway上の前のセッションが閉じられ新しいセッションが作成されますログオンの転送はログオフ後の 2分間しかアクティブになりません複数のデバイスから同時にログオンを試みると最後のログオン試によって元のセッションが置き換えられます


Citrix Gatewayでのルーティングの構成

March 26 2020


Citrix Gateway 130

内部ネットワークリソースへのアクセスを提供するにはCitrix Gatewayが内部で安全なネットワークにデータをルーティングできる必要がありますデフォルトではCitrix Gatewayは静的ルートを使します

Citrix GatewayがデータをルーティングできるネットワークはCitrix Gatewayのルーティングテーブルと CitrixGatewayに指定したデフォルト Gatewayの構成によって決まります

Citrix Gatewayのルーティングテーブルにはユーザーがアクセスする必要のある内部ネットワークリソースにデータをルーティングするために必要なルートが含まれている必要があります

Citrix Gatewayでは次のルーティングプロトコルがサポートされています

bull Routing Information Protocol (RIP v1および v2)bull Open Shortest Path First (OSPF)bull Border Gateway Protocol (BGF)

スタティックルートの設定

別のホストまたはネットワークとの通信を設定するときに動的ルーティングを使しない場合はCitrix Gatewayから新しい宛先への静的ルートを構成する必要があります

スタティックルートを設定するには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ネットワーク] gt [詳細設定]を展開し[ルート]をクリックします

2 詳細ウィンドウの [基本]タブで[追加]をクリックします3 ルートの設定を構成し[Create]をクリックします

スタティックルートをテストするには

1 構成ユーティリティのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします

2 詳細ペインの [ユーティリティ]で[Ping]をクリックします

3 [パラメータ]の [ホスト名]にデバイスの名前をします

4 [詳細設定]の [送信元 IPアドレス]にデバイスの IPアドレスをし[実]をクリックします

他のデバイスとの通信に成功した場合は同じ数のパケットが送信および受信されパケットが失われなかったことをすメッセージが表されます

他のデバイスと通信していない場合ステータスメッセージにはパケットが受信されずすべてのパケットが失われたことがされますこの通信不を修正するには順を繰り返してスタティックルートを追加します


Citrix Gateway 130

テストを停するには[Ping]ダイアログボックスで [停]をクリックし[閉じる]をクリックします


動ネゴシエーションの設定

March 26 2020

デフォルトではアプライアンスはオートネゴシエーションを使するように構成されていますこのオートネゴシエーションではCitrix Gatewayはネットワークトラフィックを両向に送信し適切なアダプタ速度を決定しますデフォルト設定の「動ネゴシエーション」のままにするとCitrix Gatewayは全重操作を使しますネットワークアダプタは双向で同時にデータを送信できます

動ネゴシエーションを無効にするとCitrix Gatewayは半重操作を使します半重操作ではアダプターは 2つのノード間で両向にデータを送信できますがアダプターは度に使できるのはまたは他のみです

初めてインストールする場合はアプライアンスに接続されているポートに対して動ネゴシエーションを使するように Citrix Gatewayを構成することをお勧めします最初にログオンして Citrix Gatewayを構成したら動ネゴシエーションを無効にできます動ネゴシエーションをグローバルに設定することはできません各インターフェイスの設定を有効または無効にする必要があります

動ネゴシエーションを有効または無効にするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ネットワーク]を展開し[インターフェイス]をクリックします

2 詳細ペインでインターフェイスを選択し[開く]をクリックします3 [インターフェイスの設定]ダイアログボックスで次のいずれかの操作をいます

bull 動ネゴシエーションを有効にするには[動ネゴシエーション]の横にある [はい]をクリックし[OK]をクリックします

bull 動ネゴシエーションを無効にするには[動ネゴシエーション]の横にある [いいえ]をクリックし[OK]をクリックします



Citrix Gateway 130

認証と承認

March 26 2020

Citrix GatewayではCitrix Gatewayのユーザー認証を幅広くカスタマイズできる柔軟な認証設計を採しています業界標準の認証サーバーを使しサーバーを使してユーザーを認証するように Citrix Gatewayを構成できますCitrix Gatewayではクライアント証明書に存在する属性に基づく認証もサポートされますCitrixGateway認証はユーザー認証に単のソースを使する単純な認証順と複数の認証タイプに依存するより複雑なカスケード認証順に対応するように設計されています

Citrix Gateway認証にはローカルユーザーおよびグループを作成するためのローカル認証が組み込まれていますこの設計では構成する認証順を制御するポリシーの使を中としています作成するポリシーはCitrixGatewayのグローバルサーバーレベルまたは仮想サーバーレベルで適できユーザーのソースネットワークに基づいて条件付きで認証サーバーパラメーターを設定できます

ポリシーはグローバルにバインドされるか仮想サーバーにバインドされるためポリシーに優先順位を割り当てて認証の部として複数の認証サーバーのカスケードを作成することもできます

Citrix Gatewayには次の認証タイプがサポートされています

bull Localbull Lightweight Directory Access Protocol (LDAP)bull RADIUSbull SAMLbull TACACS+bull クライアント証明書認証 (スマートカード認証を含む)

Citrix Gateway はRSA セキュリティ IDゲマルトプロティバおよびセーフワードもサポートしていますRADIUSサーバを使してこれらのタイプの認証を設定します

認証によりユーザーは Citrix Gatewayにログオンして内部ネットワークに接続できますが認証によってユーザーがアクセスできる安全なネットワーク内のリソースが定義されます認可はLDAPポリシーおよび RADIUSポリシーを使して設定します


デフォルトのグローバル認証タイプの設定

March 26 2020

Citrix Gatewayをインストールして Citrix Gatewayウィザードを実するとウィザード内で認証を構成しましたこの認証ポリシーはCitrix Gatewayのグローバルレベルに動的にバインドされますCitrix Gatewayウ


Citrix Gateway 130

ィザードで設定する認証タイプはデフォルトの認証タイプですデフォルトの認証タイプを変更するにはCitrixGatewayウィザードを再度実するか構成ユーティリティでグローバル認証設定を変更します

認証の種類を追加する必要がある場合はCitrix Gatewayで認証ポリシーを構成し構成ユーティリティを使してポリシーを Citrix Gatewayにバインドできます認証をグローバルに設定する場合は認証のタイプを定義し設定を構成し認証できる最ユーザ数を設定します

ポリシーを設定してバインドしたらプライオリティを設定してどの認証タイプが優先されるかを定義できますたとえばLDAPおよび RADIUS認証ポリシーを設定しますLDAPポリシーのプライオリティ番号が 10でRADIUSポリシーのプライオリティ番号が 15の場合各ポリシーをバインドする場所に関係なくLDAPポリシーが優先されますこれをカスケード認証と呼びます

ログオンページはCitrix Gatewayのインメモリキャッシュから配信するかCitrix Gatewayで実されているHTTPサーバーから配信するかを選択できますメモリ内キャッシュからログオンページを配信する場合CitrixGatewayからのログオンページの配信はHTTPサーバーからの送信よりも幅に速ですメモリ内キャッシュからログオンページを配信することを選択すると多数のユーザーが同時にログオンするときの待機時間が短縮されますキャッシュからのログオンページの配信はグローバル認証ポリシーの部としてのみ構成できます

また認証の特定の IPアドレスであるネットワークアドレス変換 (NAT) IPアドレスを構成することもできますこの IPアドレスは認証で意でありCitrix Gatewayのサブネットマッピングされた IPアドレスまたは仮想 IPアドレスではありませんこれはオプションの設定です

注Citrix Gatewayウィザードを使して SAML認証を構成することはできません

クイック構成ウィザードを使してLDAPRADIUSおよびクライアント証明書の認証を構成できますウィザードを実するとCitrix Gatewayで構成されている既存の LDAPサーバーまたは RADIUSサーバーから選択できますLDAPまたは RADIUSの設定を構成することもできます2要素認証を使する場合はプライマリ認証タイプとして LDAPを使することをお勧めします

認証をグローバルに設定するには


2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [最ユーザー数]にこの認証の種類を使して認証できるユーザーの数をします4 [NAT IPアドレス]に認証に使する意の IPアドレスをします5 [静的キャッシュを有効にする]を選択してログオンページを速に配信します6 認証が失敗した場合にユーザーにメッセージを提供するには[拡張認証フィードバックを有効にする]を選択しますユーザーが受け取るメッセージにはパスワードのエラーアカウントの無効化またはロック済みまたはユーザーがつからなかったなどがあります

7「デフォルトの認証タイプ」で認証タイプを選択します8 認証の種類の設定を構成し[OK]をクリックします


Citrix Gateway 130


認可なしの認証の設定

April 9 2020

承認はユーザーが Citrix Gateway経由で接続できるリソースを定義します認可ポリシーを構成するには式を使しポリシーを許可または拒否するように設定しますCitrix Gatewayでは認証のみを使するように構成できます

承認なしで認証を構成するとCitrix Gatewayはグループ承認チェックを実しませんユーザーまたはグループに対して構成するポリシーはユーザーに割り当てられます

認可の設定の詳細については認可の設定を参照してください


認可の設定

March 26 2020

承認はユーザーが Citrix Gatewayにログオンするときにアクセスできるネットワークリソースを指定します認可のデフォルト設定ではすべてのネットワークリソースへのアクセスを拒否しますデフォルトのグローバル設定を使し承認ポリシーを作成してユーザーがアクセスできるネットワークリソースを定義することをお勧めします

Citrix Gatewayで承認を構成するには承認ポリシーと式を使します承認ポリシーを作成したらアプライアンスで構成したユーザーまたはグループにそのポリシーをバインドできます


認可ポリシーの設定

March 26 2020


Citrix Gateway 130

認可ポリシーを設定するときに内部ネットワークのネットワークリソースへのアクセスを許可または拒否するように設定できますたとえばユーザが 10330ネットワークにアクセスできるようにするには次の式を使します

REQIPDESTIP==10300 -netmask 25525500

承認ポリシーはユーザーとグループに適されますユーザーが認証されるとCitrix GatewayはRADIUSLDAPまたは TACACS+サーバーからユーザーのグループ情報を取得してグループ承認チェックを実しますユーザーがグループ情報を使できる場合Citrix Gatewayはそのグループに許可されているネットワークリソースをチェックします

ユーザーがアクセスできるリソースを制御するには承認ポリシーを作成する必要があります認可ポリシーを作成する必要がない場合はデフォルトのグローバル認可を設定できます

ファイルパスへのアクセスを拒否する式を認可ポリシー内に作成した場合ルートディレクトリではなくサブディレクトリパスのみを使できますたとえば「ルートディレクトリ dir1 dir2」ではなくfspathに「dir1 dir2」が含まれているを使しますこの例で 2番のバージョンを使するとポリシーは失敗します

認可ポリシーを設定したら次のタスクにすようにそれをユーザーまたはグループにバインドします

デフォルトでは認可ポリシーは最初に仮想サーバにバインドしたポリシーに対して検証され次にグローバルにバインドされたポリシーに対して検証されますポリシーをグローバルにバインドしユーザーグループまたは仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合はポリシーのプライオリティ番号を変更できますプライオリティ番号はゼロから始まりますプライオリティ番号がさいほどポリシーの優先順位がくなります

たとえばグローバルポリシーの優先順位番号が 1でユーザの優先順位が 2の場合グローバル認証ポリシーが最初に適されます

重要

bull 従来の認可ポリシーはTCPトラフィックにだけ適されます

bull 度な認可ポリシーはすべてのタイプのトラフィック（TCPUDPICMPDNS）に適できます

ndash UDPICMPDNS トラフィックにポリシーを適するにはポリシーが UDP_REQUESTICMP_REQUESTDNS_REQUESTの各タイプでバインドされている必要があります

ndash バインディング中「タイプ」が明的に及されていないか「タイプ」が REQUESTに設定されている場合動作は以前のビルドから変更されませんつまりこれらのポリシーはTCPトラフィックにのみ適されます

度な承認ポリシーの詳細については「httpssupportcitrixcomarticleCTX232237」を参照してください

GUIを使して認可ポリシーを設定するには

1 Citrix Gateway gt［ポリシー］gt［認証］に移動します2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします


Citrix Gateway 130

4「アクション」で「許可」または「拒否」を選択します5 [式]で[式エディタ]をクリックします6 式の構成を開始するには[選択]をクリックして必要な要素を選択します7 式が完成したら[完了]をクリックします8［作成］をクリックします

GUIを使して認可ポリシーをユーザーにバインドするには

1 Citrix Gateway gt［ユーザー管理］に移動します2 [ AAAユーザ]をクリックします3 詳細ペインでユーザーを選択し[編集]をクリックします4 [詳細設定]で[承認ポリシー]をクリックします5「ポリシーバインディング」ページでポリシーを選択するかポリシーを作成します6 [優先度]で優先度番号を設定します7「タイプ」で要求タイプを選択し「OK」をクリックします

GUIを使して認可ポリシーをグループにバインドするには

1 Citrix Gateway gt［ユーザー管理］に移動します2 [ AAAグループ]をクリックします3 詳細ペインでグループを選択し[編集]をクリックします4 [詳細設定]で[承認ポリシー]をクリックします5「ポリシーバインディング」ページでポリシーを選択するかポリシーを作成します6 [優先度]で優先度番号を設定します7「タイプ」で要求タイプを選択し「OK」をクリックします


デフォルトのグローバル認可の設定

March 26 2020

ユーザが内部ネットワーク上でアクセスできるリソースを定義するにはデフォルトのグローバル認可を設定しますグローバル認可を設定するには内部ネットワーク上のネットワークリソースへのアクセスをグローバルに許可または拒否します

作成したグローバル認可アクションは直接またはグループを通じて認可ポリシーが関連付けられていないすべてのユーザに適されますユーザまたはグループの認可ポリシーは常にグローバル認可アクションよりも優先され


Citrix Gateway 130

ますデフォルトの認可アクションが Denyに設定されている場合はすべてのユーザまたはグループに認可ポリシーを適してそれらのユーザまたはグループがネットワークリソースにアクセスできるようにする必要がありますこの要件はセキュリティを向上させるのに役ちます

デフォルトのグローバル認可を設定するには次の順を実します


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブの [既定の承認操作]の横にある [許可]または [拒否]を選択し[OK]をクリックします


認証の無効化

March 26 2020

デプロイメントで認証が不要な場合は無効にすることができます認証を必要としない各仮想サーバーの認証を無効にできます

重要慎重に認証を無効にすることをお勧めします外部認証サーバーを使していない場合はCitrix Gatewayでユーザーの認証を許可するローカルユーザーとグループを作成します認証を無効にするとCitrix Gatewayへの接続を制御および監視する認証承認およびアカウンティング機能の使が停しますユーザーが CitrixGatewayに接続するためにWebアドレスをしてもログオンページは表されません

認証を無効にするには

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］を展開し［仮想サーバー］をクリックします

2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [認証]タブの [ユーザー認証]で[認証を有効にする]をクリックしてオフにします


特定の時間に対する認証の設定

March 26 2020


Citrix Gateway 130

通常の勤務時間などの特定の時間にユーザが内部ネットワークへのアクセスを許可するように認証ポリシーを設定できますユーザーが別の時間にログオンしようとするとログオンは拒否されます

ユーザーが Citrix Gatewayにログオンするタイミングを制限するには認証ポリシー内で式を作成し仮想サーバーまたはグローバルにバインドします

時刻付または曜の認証を構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [認証]で認証の種類を選択します3 詳細ペインで[ポリシー]タブをクリックし認証ポリシーを選択して [開く]をクリックします4 [認証ポリシーの構成]ダイアログボックスの [式]で[任意の式に致]の横にある [追加]をクリックします5 [式の追加]ダイアログボックスの [式の種類]で[付時刻]を選択します6「修飾」で次のいずれかを選択します

bull ユーザーがログオンできない時間を構成する時間bull ユーザーがログオンできない付を構成するには[DATE]をクリックしますbull DAYOFWEEKを使してユーザーがログオンできないを設定します

7「演算」で値を選択します8 [値]でテキストボックスの横のカレンダーをクリックし付または時刻を選択します9 [OK]を 2回クリックし[閉じる]をクリックして [OK]をクリックします


認証ポリシーのしくみ

March 26 2020

ユーザーが Citrix Gatewayにログオンするとユーザーが作成したポリシーに従って認証されますポリシーは認証タイプを定義します単の認証ポリシーは単純な認証のニーズに使でき通常はグローバルレベルでバインドされますデフォルトの認証タイプ（ローカル）を使することもできますローカル認証を構成する場合はCitrix Gatewayでユーザーとグループも構成する必要があります

複数の認証ポリシーを構成しそれらをバインドして詳細な認証順と仮想サーバーを作成できますたとえば複数のポリシーを設定することでカスケード認証と 2要素認証を設定できますまた認証ポリシーの優先順位を設定してCitrix Gatewayがユーザーの資格情報をチェックするサーバーと順序を決定することもできます認証ポリシーには式とアクションが含まれますたとえば式を True valueに設定した場合ユーザーがログオンするとアクションによってユーザーログオンが trueと評価されユーザーはネットワークリソースにアクセスできます


Citrix Gateway 130

認証ポリシーを作成したらグローバルレベルまたは仮想サーバのいずれかでポリシーをバインドします少なくとも 1つの認証ポリシーを仮想サーバーにバインドする場合グローバル認証の種類が仮想サーバーにバインドされているポリシーよりも優先順位がい場合を除きユーザーが仮想サーバーにログオンするときにグローバルレベルにバインドした認証ポリシーは使されません

ユーザーが Citrix Gatewayにログオンすると認証は次の順序で評価されます

bull 仮想サーバでバインドされた認証ポリシーがあるかどうかがチェックされますbull 認証ポリシーが仮想サーバーにバインドされていない場合Citrix Gatewayはグローバル認証ポリシーをチェックします

bull 認証ポリシーが仮想サーバーまたはグローバルにバインドされていない場合ユーザーはデフォルトの認証タイプを使して認証されます

LDAPおよび RADIUS認証ポリシーを設定し2要素認証にポリシーをグローバルにバインドする場合は設定ユーティリティでポリシーを選択しポリシーがプライマリ認証タイプかセカンダリ認証タイプかを選択できますグループ抽出ポリシーを設定することもできます


認証プロファイルの設定

April 9 2020

Citrix Gatewayウィザードまたは構成ユーティリティを使して認証プロファイルを作成できますプロファイルには認証ポリシーのすべての設定が含まれますプロファイルは認証ポリシーを作成するときに構成します

Citrix Gatewayウィザードでは選択した認証タイプを使して認証を構成できますウィザードの実後に追加の認証ポリシーを構成する場合は構成ユーティリティを使できますCitrix Gatewayウィザードの詳細については「Citrix Gatewayウィザードを使した設定の構成」を参照してください

構成ユーティリティを使して認証ポリシーを作成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 外部認証タイプを使している場合は[サーバー]の横にある [新規]をクリックします5 [認証サーバーの作成]ダイアログボックスで認証の種類の設定を構成し[作成][閉じる]の順にクリックします

6 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします


Citrix Gateway 130

注意認証タイプを選択して認証プロファイルを保存する場合認証タイプは変更できません別の認証タイプを使するには新しいポリシーを作成する必要があります

構成ユーティリティを使して認証ポリシーを変更するには

認証サーバの IPアドレスや式など設定された認証ポリシーおよびプロファイルを変更できます

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ペインの [サーバー]タブでサーバーを選択し[開く]をクリックします

認証ポリシーを削除するには

ネットワークから認証サーバーを変更または削除した場合はCitrix Gatewayから対応する認証ポリシーを削除します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ペインの [ポリシー]タブでポリシーを選択し[削除]をクリックします


認証ポリシーのバインド

March 26 2020

認証ポリシーを設定したらポリシーをグローバルにバインドするか仮想サーバにバインドしますいずれかの設定ユーティリティーを使して認証ポリシーをバインドできます

構成ユーティリティを使して認証ポリシーをグローバルにバインドするには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します

2 認証タイプをクリックします

3 詳細ウィンドウの [ポリシー]タブでサーバーをクリックし[操作]で [グローバルバインド]をクリックします

4 [プライマリ]タブまたは [セカンダリ]タブの [詳細]で[ポリシーの挿]をクリックします

5 [ポリシー名]でポリシーを選択し[OK]をクリックします

注ポリシーを選択するとCitrix Gatewayによって式が Trueの値に動的に設定されます


Citrix Gateway 130

構成ユーティリティを使してグローバル認証ポリシーをバインド解除するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ポリシー]タブの [操作]で[グローバルバインド]をクリックします3 [認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスの [プライマリ]タブまたは [セカンダリ]タブの [ポリシー名]でポリシーを選択し[ポリシーのバインド解除]をクリックして[OK]をクリックします


認証ポリシーの優先順位の設定

March 26 2020

デフォルトでは認証ポリシーは最初に仮想サーバにバインドしたポリシーに対して検証され次にグローバルにバインドされたポリシーに対して検証されます認証ポリシーをグローバルにバインドし仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合はポリシーのプライオリティ番号を変更できますプライオリティ番号はゼロから始まりますプライオリティ番号がさいほど認証ポリシーの優先順位がくなります

たとえばグローバルポリシーのプライオリティ番号が 1で仮想サーバのプライオリティが 2の場合グローバル認証ポリシーが最初に適されます

グローバル認証ポリシーの優先順位を設定または変更するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ポリシー]タブの [操作]で[グローバルバインド]をクリックします3 [認証グローバルポリシーのバインドバインド解除]ダイアログボックスの [プライマリ]タブまたは [セカンダリ]タブで[優先度]に番号をし[OK]をクリックします

仮想サーバにバインドされた認証ポリシーの優先順位を変更するには

仮想サーバーにバインドされている認証ポリシーを変更することもできます


2 仮想サーバを選択し[開く]をクリックします3 [認証]タブをクリックし[プライマリ]または [セカンダリ]を選択します4 ポリシーを選択し[優先度]に優先度の番号をし[OK]をクリックします



Citrix Gateway 130

ローカルユーザの構成

March 26 2020

Citrix Gatewayでローカルにユーザーアカウントを作成して認証サーバー上のユーザーを補完することができますたとえば社外のコンサルタントや来訪者などの時的なユーザーのアカウントを認証サーバー上ではなくAccess Gateway上にローカルに作成します

ローカル認証を使している場合はユーザーを作成しCitrix Gatewayで作成したグループに追加しますユーザーとグループを構成したら承認およびセッションポリシーを適しブックマークを作成しアプリケーションを指定しユーザーがアクセスできるファイル共有とサーバーの IPアドレスを指定できます

ローカルユーザーを作成するには

1 構成ユーティリティで［構成］タブをクリックしナビゲーションペインで［Citrix Gateway］gt［ユーザー管理］の順に展開し［AAAユーザー］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4 ローカル認証を使している場合は[外部認証]をオフにします注意LDAPや RADIUSなどの外部認証サーバーに対してユーザーが認証されるようにするには「外部認証」を選択しますこのチェックボックスをオフにするとCitrix Gatewayがローカルユーザーデータベースに対して認証されます


ユーザパスワードを変更するには

ローカルユーザーの作成後ユーザーのパスワードを変更したり外部認証サーバーに対して認証されるようにユーザーアカウントを構成したりできます


2 詳細ペインでユーザーを選択し[開く]をクリックします3 [パスワード]と [パスワードの確認]にユーザーの新しいパスワードをし[OK]をクリックします

ユーザーの認証法を変更するには

ローカル認証に構成されているユーザーがいる場合は認証を外部認証サーバに変更できますこれをうには外部認証を有効にします


Citrix Gateway 130


2 詳細ペインでユーザーを選択し[開く]をクリックします3 [外部認証]を選択し[OK]をクリックします

ユーザーを削除するには

Citrix Gatewayからユーザーを削除することもできます


2 詳細ペインでユーザーを選択し[削除]をクリックします

Citrix Gatewayからユーザーを削除すると関連するすべてのポリシーもユーザープロファイルから削除されます


グループの構成

March 26 2020

Citrix Gatewayではローカルグループでありローカル認証でユーザーを認証できるグループを作成できます認証に外部サーバーを使している場合Citrix Gatewayのグループは内部ネットワークの認証サーバーで構成されたグループと致するように構成されますユーザーがログオンして認証されるとグループ名が認証サーバー上のグループと致する場合ユーザーは Citrix Gateway上のグループの設定を継承します

グループを構成したら承認ポリシーとセッションポリシーの適ブックマークの作成アプリケーションの指定ユーザーがアクセスできるファイル共有とサーバーの IPアドレスの指定をうことができます

ローカル認証を使している場合はユーザーを作成しCitrix Gatewayで構成されたグループに追加しますユーザーはそのグループの設定を継承します

重要ユーザーが Active Directoryグループのメンバーである場合Citrix Gateway上のグループの名前は ActiveDirectoryグループと同じである必要があります

新しいグループを作成するには

1 構成ユーティリティで［構成］タブをクリックしナビゲーションペインで［Citrix Gateway］gt［ユーザー管理］の順に展開し［AAAグループ］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をし[作成]をクリックし[閉じる]をクリックします


Citrix Gateway 130

グループを削除するには

Citrix Gatewayからユーザーグループを削除することもできます


2 詳細ペインでグループを選択し[削除]をクリックします


グループへのユーザーの追加

March 26 2020

ユーザーをグループに追加するにはグループの作成時または後で追加できます複数のグループにユーザーを追加してユーザーはそれらのグループにバインドされているポリシーと設定を継承できます

ユーザーをグループに追加するには次の順に従います


2 詳細ウィンドウでグループを選択し[開く]をクリックします3 [ユーザー]タブの [使可能なユーザー]でユーザーを選択し[追加]をクリックして [OK]をクリックします


グループを使したポリシーの設定

March 26 2020

グループを構成したら[グループ]ダイアログボックスを使してユーザーアクセスを指定するポリシーと設定を適できますローカル認証を使している場合はユーザーを作成しCitrix Gatewayで構成されたグループに追加しますユーザーはそのグループの設定を継承します

[グループ]ダイアログボックスでユーザーのグループに対して次のポリシーまたは設定を構成できます

bull ユーザーbull 承認ポリシーbull 監査ポリシー


Citrix Gateway 130

bull セッションポリシーbull トラフィックポリシーbull ブックマークbull イントラネットアプリケーションbull イントラネット IPアドレス

構成では複数のグループに属するユーザーがいる場合がありますさらに各グループには異なるパラメータが設定された 1つ以上のバインドされたセッションポリシーがある場合があります複数のグループに属するユーザーはそのユーザーが属するすべてのグループに割り当てられたセッションポリシーを継承しますどのセッションポリシー評価が他よりも優先されるかを確認するにはセッションポリシーの優先度を設定する必要があります

たとえばグループ 1がホームページwwwhomepage1comで構成されたセッションポリシーにバインドされているとしますグループ 2はホームページwwwhomepage2comで構成されたセッションポリシーにバインドされますこれらのポリシーが優先順位番号のないグループまたは優先順位番号が同じグループにバインドされている場合両のグループに属するユーザーに表されるホームページは最初に処理されるポリシーによって異なりますホームページwwwhomepage1comのセッションポリシーの優先順位を低く設定すると両のグループに属するユーザーが常にホームページwwwhomepage1comを受け取ることができます

セッションポリシーに優先順位番号が割り当てられていないか同じ優先順位番号が割り当てられていない場合優先順位は次の順序で評価されます

bull ユーザーbull グループbull 仮想サーバbull グローバル

ポリシーがプライオリティ番号なしで同じレベルにバインドされている場合またはポリシーが同じプライオリティ番号を持つ場合評価の順序はポリシーバインド順序に従ってわれます最初にレベルにバインドされたポリシーは後でバインドされたポリシーよりも優先されます


LDAP認証の構成

April 9 2020

1つ以上の LDAPサーバーを使してユーザーアクセスを認証するように Citrix Gatewayを構成できます

LDAP認証にはActive DirectoryLDAPサーバーおよび Citrix Gatewayで同じグループ名が必要ですグループ名は字字の使い分けを含め字句正確に致させる必要があります

既定ではLDAP認証はセキュアソケットレイヤー (SSL)またはトランスポート層セキュリティ (TLS)を使してセキュリティで保護されていますセキュア LDAP接続には 2つのタイプがあります1つのタイプの場合LDAP


Citrix Gateway 130

サーバはLDAPサーバがクリア LDAP接続を受けれるために使するポートとは別のポートで SSLまたは TLS接続を受けれますユーザーが SSL接続または TLS接続を確するとLDAPトラフィックは接続を介して送信できます

LDAP接続のポート番号は次のとおりです

bull セキュリティで保護されていない LDAP接続の場合は 389bull 安全な LDAP接続の 636bull Microsoftのセキュリティで保護されていない LDAP接続の場合 3268bull Microsoftの LDAP接続のセキュリティで保護された 3269

2番のタイプのセキュア LDAP接続ではStartTLSコマンドを使しポート番号 389を使しますCitrixGatewayでポート番号 389または 3268を構成するとサーバーは StartTLSを使して接続を試みます他のポート番号を使する場合サーバーは SSLまたは TLSを使して接続を試みますサーバーが StartTLSSSLまたは TLSを使できない場合接続は失敗します

LDAPサーバーのルートディレクトリを指定するとCitrix Gatewayはすべてのサブディレクトリを検索してユーザー属性を検索しますきなディレクトリではこの法はパフォーマンスに影響を与える可能性がありますこのため特定の組織単位（OU）を使することをお勧めします

次の表にLDAPサーバーのユーザー属性フィールドの例をします

LDAPサーバーユーザー属性字と字を区別する

Microsoft Active DirectoryServer

sAMAccountName いいえ

Novell eDirectory ou はい

IBM Directory Server uid はい

Lotus Domino CN はい

Sun ONE Directory（旧iPlanet）

uidまたは cn はい

次の表にベース DNの例をします

LDAPサーバーベース DN

Microsoft Active Directory Server DC=citrixDC=local

Novell eDirectory ou=usersou=dev

IBM Directory Server cn=users

Lotus Domino OU=CityO=Citrix C=US


Citrix Gateway 130


Sun ONE Directory（旧 iPlanet） ou=Peopledc=citrixdc=com

次の表にバインド DNの例をします

LDAPサーバー Bind DN

Microsoft Active Directory Server CN=Administrator CN=Users DC=citrixDC=local

Novell eDirectory cn=admin o=citrix

IBM Directory Server LDAP_dn

Lotus Domino CN=Notes Administrator O=Citrix C=US

Sun ONE Directory（旧 iPlanet） uid=adminou=Administratorsou=TopologyManagemento=NetscapeRoot

注LDAPサーバ設定の詳細についてはLDAPディレクトリ内の属性の決定を参照してください


構成ユーティリティを使して LDAP認証を構成するには

March 26 2020

1 Citrix Gateway gt［ポリシー］gt［認証］に移動します

2 [ LDAP]をクリックします

3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします

4 [名前]にポリシーの名前をします

5 [サーバー]の横にある [新規]をクリックします

6 [名前]にサーバーの名前をします

7 [サーバー]の [ IPアドレス]と [ポート]にLDAPサーバーの IPアドレスとポート番号をします

8 [種類]で[Active Directory]の場合は [ AD][Novellディレクトリサービス]の場合は [ NDS]を選択します


Citrix Gateway 130

9 [接続の設定]で次の操作をいます

a) [ベース DN (ユーザーの場所)]にユーザーが配置されるベース DNをしますベース DNは選択したディレクトリ（ADまたは NDS）の下にあるユーザーを検索します

ベース DNはユーザー名を削除しユーザーが配置されているグループを指定することによってバインド DNから取得されます基本識別名の構の例を次にします

1 ou=usersdc=acedc=com2 cn=Usersdc=acedc=com

b) [管理者バインド DN]にLDAPディレクトリへのクエリの管理者バインド DNをしますバインド DNの構の例を次にします

1 domainuser name2 ou=administratordc=acedc=com3 userdomainname (for Active Directory)4 cn=Administratorcn=Usersdc=acedc=com

Active Directoryの場合はcn=グループ名として指定されたグループ名が必要ですCitrix Gatewayで定義するグループ名と LDAPサーバー上のグループ名は同である必要があります

他の LDAPディレクトリの場合グループ名は必須ではないか必要に応じて ou=groupnameとして指定されます

Citrix Gatewayは管理者の資格情報を使して LDAPサーバーにバインドしユーザーを検索しますユーザーをつけた後Citrix Gatewayは管理者の資格情報をアンバインドしユーザーの資格情報で再バインドします

c) [管理者パスワード]と [管理者パスワードの確認]にLDAPサーバーの管理者パスワードをします

10 追加の LDAP設定を動的に取得するには[属性の取得]をクリックします

[属性の取得]をクリックすると[その他の設定]の下のフィールドが動的にされますこの順を無視する場合は順 12および 13に進みますそれ以外の場合は順 14に進みます

11［その他の設定］の［サーバーのログオン名の属性］に構成する LDAP サーバーのログオン名を CitrixGatewayが検索する属性をしますデフォルトは「samAccountName」です

12「検索フィルタ」に単または複数のアクティブなディレクトリグループに関連付けられているユーザーを検索する値をします

たとえば「memberOf=CN=GatewayAccessOU=GroupsDC=UsersDC=lab」などです

注


Citrix Gateway 130

上記の例を使するとCitrix Gatewayのアクセスを特定の ADグループのメンバーのみに制限できます

13 [グループ属性]でActive DirectoryのデフォルトのmemberOfのままにするか使している LDAPサーバーの種類の属性に属性を変更しますこの属性によりCitrix Gatewayは承認中にユーザーに関連付けられたグループを取得できます

14 [セキュリティの種類]でセキュリティの種類を選択し[作成]をクリックします

15 ユーザーが LDAPパスワードを変更できるようにするには[パスワードの変更を許可]を選択します

注

bull セキュリティタイプとして PLAINTEXTを選択した場合ユーザーにパスワードの変更を許可することはできません

bull セキュリティのために PLAINTEXTまたは TLSを選択した場合はポート番号 389を使しますSSLを選択した場合はポート番号 636を使します


LDAPディレクトリ内の属性の決定

March 26 2020

Citrix Gatewayで認証設定を構成できるようにLDAPディレクトリ属性を決定する際にサポートが必要な場合はSofterraの無料の LDAPブラウザーで簡単に検索できます

LDAPブラウザはからダウンロードできますLDAPアドミニストレーターWebサイトブラウザをインストールしたら次の属性を設定します

bull LDAPサーバーのホスト名または IPアドレスbull LDAPサーバーのポートデフォルトは 389ですbull ベース DNフィールド空のままにできますLDAPブラウザーから提供される情報はCitrix Gatewayでこの設定を構成するために必要なベース DNを特定するのに役ちます

bull 匿名バインドチェックではLDAPサーバに接続するためにユーザクレデンシャルが必要かどうかを判断しますLDAPサーバーでクレデンシャルが必要な場合はチェックボックスをオフのままにします

設定が完了するとLDAPブラウザは左ペインにプロファイル名を表しLDAPサーバに接続します



Citrix Gateway 130

LDAPグループ抽出の設定

April 9 2020

2要素認証を使している場合はプライマリ認証ソースとセカンダリ認証ソースの両から抽出されたグループが連結されます認可ポリシーはプライマリまたはセカンダリ認証サーバから抽出されたグループに適できます

LDAPサーバーから取得したグループ名はCitrix Gatewayでローカルに作成されたグループ名と較されます2つのグループ名が致する場合ローカルグループのプロパティは LDAPサーバから取得したグループに適されます

ユーザーが複数の LDAPグループに属している場合Citrix Gatewayはユーザーが属するすべてのグループからユーザー情報を抽出しますユーザーが Citrix Gateway上の 2つのグループのメンバーであり各グループにバインドされたセッションポリシーがある場合ユーザーは両のグループからセッションポリシーを継承しますユーザーが正しいセッションポリシーを受け取るようにするにはセッションポリシーの優先順位を設定します

Citrix Gateway認証で動作する LDAPグループメンバーシップ属性の詳細については以下を参照してください

bull LDAPグループ抽出のユーザーオブジェクトからの直接の動作bull LDAPグループ抽出がグループオブジェクトから間接的に機能する法


LDAPグループ抽出のユーザーオブジェクトからの直接の動作

March 26 2020

グループオブジェクトからグループメンバーシップを評価する LDAPサーバーはCitrix Gateway認証で動作します

部の LDAPサーバーではActive Directory (memberOf属性を使)や IBM eDirectory (groupMembership属性を使)などオブジェクトが属するグループに関する情報をユーザーオブジェクトに含めることができますユーザーのグループメンバーシップはIBMディレクトリサーバー (ibm-allGroupsを使)や Sun ONEディレクトリサーバー (nsRoleを使)などのユーザーオブジェクトの属性にすることができますこれらのタイプの LDAPサーバーはいずれもCitrix Gatewayグループ抽出で動作します

たとえばIBM Directory Serverでは静的動的ネストされたグループを含むすべてのグループメンバーシップはibm-allGroups属性を使して返すことができますSun ONEでは管理フィルタリングネストを含むすべてのロールが nsRole属性を使して計算されます



Citrix Gateway 130

LDAPグループ抽出がグループオブジェクトから間接的に機能する法

March 26 2020

グループオブジェクトからのグループメンバーシップを間接的に評価する LDAPサーバーはCitrix Gateway認証では機能しません

Lotus Dominoなどの部の LDAPサーバーではグループオブジェクトにユーザーに関する情報のみを含めることができますこれらの LDAPサーバーではユーザーオブジェクトにグループに関する情報を格納できないためCitrix Gatewayグループ抽出では機能しませんこのタイプの LDAPサーバではグループのメンバーリストでユーザーを検索することによりグループメンバーシップ検索が実されます


LDAP認可グループのアトリビュートフィールド

March 26 2020

次の表にLDAPグループ属性フィールドの例をします

LDAPサーバ LDAP属性

Microsoft Active Directory Server memberOf

Novell eDirectory groupMembership

IBM Directory Server ibm-allGroups

Sun ONE Directory（旧 iPlanet） nsRole


LDAP認可を設定するには

March 26 2020

認証ポリシーで LDAP認可を設定するにはグループアトリビュート名とサブアトリビュートを設定します


Citrix Gateway 130

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [認証]で認証の種類をクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にサーバーの名前をします7 [サーバー]にLDAPサーバーの IPアドレスとポートをします8 [グループ属性]にmemberOfとします9 [サブ属性]の [名前]に CNとし[作成]をクリックします

10 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします


LDAPネストされたグループ抽出の設定

March 26 2020

Citrix GatewayではLDAPグループに対してクエリを実し認証サーバー上で構成した上位グループからグループとユーザー情報を抽出できますたとえばgroup1を作成しそのグループ内に group2と group3を作成したとしますユーザーが group3に属している場合Citrix Gatewayはネストされたすべての上位グループ（group2group1）から指定されたレベルまでの情報を抽出します

認証ポリシーを使してLDAPネストされたグループ抽出を設定できますクエリを実するとCitrix Gatewayは最ネストレベルに達するまでまたは使可能なすべてのグループを検索するまでグループを検索します

LDAPネストされたグループ抽出を構成するには

1 構成ユーティリティーのナビゲーションペインで［Citrix Gateway］［ポリシー］［認証承認］［認証］［認証］の順に展開し［LDAP］をクリックします

2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [サーバー]の横にある [新規]をクリックします5 [名前]にサーバーの名前をします6 LDAPサーバの設定を構成します7 [ネストされたグループの抽出]を展開し[有効にする]をクリックします8［最ネストレベル］にCitrix Gatewayがチェックするレベル数をします9 [グループ名識別]にLDAPサーバー上のグループ名を意に識別する LDAP属性名 (sAMAccountNameなど)をします


Citrix Gateway 130

10 [グループ検索属性]に任意のグループの親グループ (memberOfなど)を決定するために検索応答で取得する LDAP属性名をします

11 [グループ検索サブ属性]にグループの親グループを決定するために[グループ検索属性]の部として検索する LDAPサブ属性名をしますたとえば「CN」とします

12 [グループ検索フィルタ]でクエリ字列をしますたとえばフィルタは (amp (サムアカウント名 =テスト) (オブジェクトクラス =))になります

13［Create］をクリックしてから［Close］をクリックします14 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉

じる]の順にクリックします


複数のドメインに対する LDAPグループ抽出の設定

March 26 2020

認証のドメインが複数ありStoreFrontまたはWeb Interfaceを使している場合はグループ抽出を使して正しいドメイン名をWeb Interfaceに送信するように Citrix Gatewayを構成できます

Active Directoryではネットワーク内の各ドメインに対してグループを作成する必要がありますグループを作成したらそのグループと指定したドメインに属するユーザーを追加しますActive Directoryでグループを構成したらCitrix Gateway上の複数のドメインに対して LDAPグループの抽出を構成します

複数のドメインのグループ抽出に Citrix Gatewayを構成するにはネットワーク上のドメイン数と同じ数のセッションおよび認証ポリシーを作成する必要がありますたとえばSampaと Childという 2つのドメインがあるとします各ドメインは1つのセッションポリシーと 1つの認証ポリシーを受け取ります

ポリシーを作成したらCitrix Gatewayでグループを作成しそのグループにセッションポリシーをバインドします次に仮想サーバーに認証ポリシーをバインドします

StoreFrontを複数のドメインに展開する場合はドメイン間に信頼関係が必要です

複数のドメインに Citrix Endpoint ManagementまたはWeb Interfaceを展開する場合ドメインは相互に信頼する必要はありません



Citrix Gateway 130

グループ抽出のセッションポリシーの作成

March 26 2020

グループ抽出のセッションポリシーを作成する最初の順は2つのセッションプロファイルを作成し次のパラメータを設定することです

bull ICAプロキシを有効にしますbull Web Interface Webアドレスを追加しますbull Windowsドメインを追加しますbull プロファイルをセッションポリシーに追加し式を trueに設定します

グループ抽出のセッションプロファイルを作成するには

1 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［セッション］をクリックします

2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をしますたとえば「Sampa」とします4 [公開アプリケーション]タブで次の操作をいます

a) ICAプロキシの横にある「グローバルオーバーライド」をクリックし「オン」を選択しますb) Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb Interface Webアドレスをします

c) [シングルサインオンドメイン]の横にある [グローバル上書き]をクリックしWindowsドメインの名前をして [作成]をクリックします

5 [名前]で最初のドメインの名前をクリアし2番のドメインの名前をします ([]など)6 [シングルサインオンドメイン]の横にある最初のWindowsドメインの名前を消去し2番のドメインの名前をし[作成][閉じる]の順にクリックします

セッションプロファイルを作成したら2つのセッションポリシーを作成します各セッションポリシーではプロファイルの 1つを使します

セッションポリシーを作成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4「要求プロファイル」で最初のドメインのプロファイルを選択します5 [名前付き式]の横にある [全般]をクリックし[True value]を選択し[式の追加]をクリックして[作成]をクリックします


Citrix Gateway 130

6 [名前]で名前を 2番のドメインに変更します7 [要求プロファイル]で2番のドメインのプロファイルを選択し[作成][閉じる]の順にクリックします


複数のドメインの LDAP認証ポリシーの作成

March 26 2020

Citrix Gatewayでセッションポリシーを作成したらほぼ同じ LDAP認証ポリシーを作成します認証ポリシーを設定する場合重要なフィールドはSearch FilterですこのフィールドにはActive Directoryで作成したグループの名前をする必要があります

最初に認証プロファイルを作成してから認証ポリシーを作成します

複数のドメイングループ抽出の認証プロファイルを作成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションペインで［LADP］をクリックします3 詳細ウィンドウで[サーバー]タブをクリックし[追加]をクリックします4 [名前]に最初のドメインの名前をします (例Sampa)5 LDAPサーバの設定を構成し[Create]をクリックします6 ステップ 345を繰り返して 2番のドメインの認証プロファイルを設定し[Close]をクリックします

プロファイルを作成して保存したら認証ポリシーを作成します

複数のドメイングループ抽出の認証ポリシーを作成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 詳細ウィンドウで[ポリシー]タブをクリックし[追加]をクリックします3 [名前]に最初のドメインの名前をします4「認証タイプ」で「LDAP」を選択します5「サーバー」で最初のドメインの認証プロファイルを選択します6 [名前付き式]の横にある [全般]をクリックし[True value]を選択し[式の追加]をクリックして[作成]をクリックします

7 [名前]に2番のドメインの名前をします8 [サーバー]で2番のドメインの認証プロファイルを選択し[作成][閉じる]の順にクリックします



Citrix Gateway 130

複数のドメインの LDAPグループ抽出のためのグループとバインディングポリシーの作成

March 26 2020

認証ポリシーを作成したらCitrix Gatewayにグループを作成しますグループを作成したら認証ポリシーを仮想サーバーにバインドします

Citrix Gatewayでグループを作成するには

1 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［ユーザー管理］の順に展開し［AAAグループ］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [グループ名]に最初の Active Directoryグループの名前をします重要複数のドメインからグループを抽出するために Citrix Gatewayでグループを作成する場合グループ名は Active Directoryで定義したグループと同じである必要がありますグループ名も字と字が区別され字と字は Active Directoryでした字と字と致する必要があります

4 [ポリシー]タブで[セッション]をクリックし[ポリシーの挿]をクリックします5 [ポリシー名]でポリシーをダブルクリックし[作成]をクリックします

認証ポリシーを仮想サーバーにバインドするには



3 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします4 [認証]タブで [プライマリ]をクリックし[ポリシー名]の [ポリシーの挿]をダブルクリックして最初の認証ポリシーを選択します

5 [ポリシー名]の [ポリシーの挿]をクリックし2番の認証ポリシーをダブルクリックして[OK]をクリックします



Citrix Gateway 130

クライアント証明書認証の構成

March 26 2020

Citrix Gateway仮想サーバーにログオンするユーザーをクライアント証明書の属性に基づいて認証することもできますクライアント証明書認証は2要素認証を提供するためにLDAPや RADIUSなどのほかの種類の認証と緒に使することもできます

クライアント側の証明書の属性でユーザーを認証するには仮想サーバー上のクライアント認証が有効になっておりクライアント証明書を要求するように構成されている必要がありますさらにCitrix Gateway上でルート証明書をその仮想サーバーにバインドする必要があります

ユーザーが Citrix Gateway仮想サーバーにログオンすると認証後証明書の指定されたフィールドからユーザー名情報が抽出されます通常このフィールドは SubjectCNですユーザー名の抽出に成功するとユーザーの認証が完了しますSSL（Secure Sockets Layer）ハンドシェイク時に有効な証明書が提供されなかったりユーザー名の抽出に失敗したりすると認証に失敗します

クライアント証明書に基づいて認証するには既定の認証の種類としてクライアント証明書を指定しますまた「証明書アクション」を作成してクライアントの SSL証明書に基づいた認証時の動作を定義することもできます

クライアント証明書をデフォルトの認証タイプとして構成するには


2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [最ユーザー数]にクライアント証明書を使して認証できるユーザーの数をします4「デフォルトの認証タイプ」で「Cert」を選択します5「ユーザー名フィールド」でユーザー名を保持する証明書フィールドの種類を選択します6 [グループ名フィールド]でグループ名を保持する証明書フィールドのタイプを選択します7 [既定の承認グループ]に既定のグループの名前をし[OK]をクリックします

クライアント証明書からのユーザー名の抽出

Citrix Gatewayでクライアント証明書による認証を有効にするとクライアント証明書の属性に基づいてユーザーが認証されます認証が正常に完了すると証明書からユーザー名またはユーザーのユーザーおよびグループ名が抽出されそのユーザーに指定されたポリシーが適されます



Citrix Gateway 130

クライアント証明書認証ポリシーの構成およびバインド

March 26 2020

クライアント証明書認証ポリシーを作成し仮想サーバーにバインドできますこのポリシーを使して特定のグループまたはユーザーへのアクセスを制限できますこのポリシーはグローバルポリシーよりも優先されます

クライアント証明書の認証ポリシーを構成するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で[ CERT]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [ Name ]フィールドにポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にプロファイルの名前をします7 [ 2係数]の横の [ OFF]を選択します8 [ユーザー名]フィールドと [グループ名]フィールドで値を選択し[作成]をクリックします注クライアント証明書をデフォルトの認証タイプとして設定した場合はポリシーに使したものと同じ名前を使しますデフォルトの認証タイプの [User Name]フィールドと [Group Name]フィールドにした場合はプロファイルにも同じ値を使します


クライアント証明書ポリシーを仮想サーバにバインドするには次の順を実します

クライアント証明書の認証ポリシーを構成したらそれを仮想サーバーにバインドできます

1 構成ユーティリティの [構成]タブのナビゲーションペインで[ Citrix Gateway ]を展開し[仮想サーバー]をクリックします

2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［認証］タブをクリックします4 [プライマリ]または [セカンダリ]をクリックします5 [詳細]の [ポリシーの挿]をクリックします6 [ポリシー名]でポリシーを選択し[ OK]をクリックします

クライアント証明書を要求するように仮想サーバーを構成するには次の順を実します

認証にクライアント証明書を使する場合はSSLハンドシェイク中にクライアント証明書が要求されるように仮想サーバーを構成する必要があります


2 詳細ウィンドウで[仮想サーバー]をクリックし[開く]をクリックします


Citrix Gateway 130

3 [証明書]タブで[ SSLパラメーター]をクリックします4 [その他]の [クライアント認証]をクリックします5 [クライアント証明書]で[オプション]または [必須]を選択し[OK]を 2回クリックします同じ仮想サーバー上で他の認証タイプを許可しクライアント証明書を使する必要がない場合は[オプション]を選択します

注

bull コールバック URLの詳細についてはCitrix Gatewayのインポートを参照してくださいbull 証明書について詳しくは「証明書のインストールリンクおよび更新」を参照してください


2要素クライアント証明書認証の設定

March 26 2020

最初にユーザーを認証するようにクライアント証明書を構成し次に LDAPや RADIUSなどのセカンダリ認証タイプを使してログオンするようにユーザーに要求できますこのシナリオではクライアント証明書が最初にユーザーを認証しますその後ユーザー名とパスワードをできるログオンページが表されますSSL (セキュアソケットレイヤー)ハンドシェイクが完了するとログオンシーケンスは次の 2つのパスのいずれかを使できます

bull ユーザー名もグループも証明書から抽出されませんログオンページが表され有効なログオン資格情報のを求めるプロンプトが表されますCitrix Gatewayは通常のパスワード認証の場合と同様にユーザー資格情報を認証します

bull クライアント証明書からユーザー名とグループ名が抽出されますユーザー名のみが抽出されるとログオン名が存在するユーザーにはログオンページが表されユーザーは名前を変更できませんパスワードフィールドのみが空です

認証の第 2ラウンド中に Citrix Gatewayが抽出するグループ情報はCitrix Gatewayが証明書から抽出したグループ情報（存在する場合）に追加されます


スマートカード認証の構成

April 9 2020

暗号化スマートカードを使してユーザーを認証するようにCitrix Gatewayを構成できます


Citrix Gateway 130

Citrix Gatewayで動作するようにスマートカードを構成するには次の操作をう必要があります

bull 証明書認証ポリシーを作成します詳しくは「クライアント証明書認証の構成」を参照してください

bull 認証ポリシーを仮想サーバーにバインドします

bull クライアント証明書を発する認証局（CA）のルート証明書を Citrix Gateway に追加します詳しくは「Citrix Gatewayにルート証明書をインストールするには」を参照してください

重要スマートカード認証にルート証明書を仮想サーバーに追加する場合は次の図にすように[CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります図 1スマートカード認証のルート証明書の追加

クライアント証明書を作成したらフラッシュと呼ばれる証明書をスマートカードに書き込むことができますこの順を完了するとスマートカードをテストできます

スマートカードパススルー認証にWeb Interfaceを構成する場合次のいずれかの条件が存在する場合WebInterfaceへのシングルサインオンは失敗します

bull [公開アプリケーション]タブでドメインをmydomainではなくmydomaincomとして設定した場合bull [公開アプリケーション]タブでドメイン名を設定せずwi-sso-split-upnコマンドを実する場合は値を 1に設定しますこの例ではユーザープリンシパル名にはドメイン名 ldquomydomaincomrdquoが含まれています

スマートカード認証を使してユーザーのログオンプロセスを合理化すると同時にインフラストラクチャへのユーザーアクセスのセキュリティを強化できます社内ネットワークへのアクセスは公開キーのインフラストラクチャを使した証明書ベースの 2要素認証によって保護されます秘密キーはハードウェアで保護されるためスマートカードの外に漏れることはありませんユーザーはスマートカードと PINを使してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります

スマートカードはCitrix Virtual Apps and Desktopsで提供されるデスクトップとアプリケーションのユーザー認証を StoreFront経由でうために使できますStoreFrontにログオンしているスマートカードユーザーはCitrix Endpoint Managementが提供するアプリケーションにもアクセスできますただしクライアント証明書認証を使する Endpoint Management Webアプリケーションにアクセスするには再度認証する必要があります

詳しくはStoreFrontのドキュメントの「スマートカード認証の構成」を参照してください

セキュア ICA接続によるスマートカード認証の構成

Citrix Gatewayでシングルサインオンが構成されたスマートカードを使してログオンし安全な ICA接続を確するユーザーはログオン時と公開リソースの起動時に個識別番号（PIN）のを求めるプロンプトが表されることがありますこの状況はWebブラウザーと Citrix Workspaceアプリがクライアント証明書を使するように構成されている同じ仮想サーバーを使している場合に発しますCitrix WorkspaceアプリはWebブラウザーとプロセスまたは SSL（セキュアソケットレイヤー）接続を共有しませんしたがってICA接続で CitrixGatewayとの SSLハンドシェイクが完了するとクライアント証明書が 2回必要です


Citrix Gateway 130

ユーザーに 2番の PINプロンプトが表されないようにするには次の 2つの設定を変更する必要があります

bull VPN仮想サーバ上のクライアント認証を無効にする必要がありますbull SSL再ネゴシエーションを有効にする必要があります

仮想サーバを構成したらWeb Interface 53での Citrix Gateway設定の構成の説明に従って1つ以上の STAサーバを仮想サーバにバインドします

スマートカード認証をテストすることもできます

クライアント認証を無効にする順は次のとおりです


2 メインの詳細ペインで関連する仮想サーバーを選択し[編集]をクリックします3 [詳細オプション]ウィンドウで[SSLパラメータ]をクリックします4 [クライアント認証]チェックボックスをオフにします5［完了］をクリックします

SSL再ネゴシエーションを有効にするには次の順を実します

1 設定ユーティリティを使して[設定]タブから [トラフィック管理]に移動し[SSL]をクリックします2 メインパネルで[SSLの詳細設定の変更]をクリックします3 [SSL再ネゴシエーションの拒否]メニューから [いいえ]を選択します

スマートカード認証をテストするには次の順に従います

1 スマートカードをユーザーデバイスに接続します2 Webブラウザーを開きCitrix Gatewayにログオンします


共通アクセスカードの設定

March 26 2020

国国防総省は識別と認証に共通のアクセスカードを使します

共通アクセスカードを設定するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [サーバー]タブで[追加]をクリックします3 [名前]ボックスに名前をします4 [認証の種類]で[証明書]を選択します5 [ユーザー名フィールド]に「サブジェクト名プリンシパル名」とし[作成]をクリックします


Citrix Gateway 130

6 [ポリシー]タブでこのサーバを使するポリシーを作成しそのポリシーを仮想サーバにバインドします


RADIUS認証の構成

March 26 2020

1つまたは複数の RADIUSサーバーでユーザーアクセスを認証するように Citrix Gatewayを構成できますRSASecurIDSafeWordまたは Gemalto Protiva製品を使している場合これらの各製品は RADIUSサーバーを使して構成されます

構成によってはネットワークアクセスサーバの IPアドレス (NAS IP)またはネットワークアクセスサーバ識別(NAS ID)の使が必要になる場合がありますRADIUS認証サーバーを使するように Citrix Gatewayを構成する場合は次のガイドラインに従ってください

bull NAS IPの使を有効にした場合アプライアンスはRADIUS接続の確に使される送信元 IPアドレスではなく構成済みの IPアドレスを RADIUSサーバに送信します

bull NAS IDを構成するとアプライアンスは RADIUSサーバーにこの識別を送信しますNAS IDを構成しないとアプライアンスは RADIUSサーバーにホスト名を送信します

bull NAS IPを有効にするとアプライアンスはNAS IPを使して RADIUSサーバーと通信するように構成された NAS IDを無視します

ゲマルトプロティバの設定

Protivaは Gemaltoが開発した強な認証プラットフォームでGemaltoのスマートカード認証の強みを利していますProtivaではユーザー名パスワードおよび Protivaデバイスが成するワンタイムパスワードを使してログオンしますRSA SecurIDと同様に認証要求は Protiva認証サーバーに送信されサーバーはパスワードを検証または拒否しますCitrix Gatewayで動作するように Gemalto Protivaを構成するには以下のガイドラインに従ってください

bull Protivaサーバーをインストールしますbull Microsoft IAS RADIUSサーバーにインターネット認証サーバー (IAS)を拡張する Protiva SASエージェントソフトウェアをインストールしますIASサーバーの IPアドレスとポート番号を書き留めておいてください

bull Citrix Gatewayで RADIUS認証プロファイルを構成しProtivaサーバーの設定をします


Citrix Gateway 130

セーフワードの設定

SafeWord製品ラインはトークンベースのパスコードを使した安全な認証を提供しますユーザーがパスコードをするとSafeWordはすぐにパスコードを無効化し再度使することはできませんSafeWordサーバーを設定する場合は次の情報が必要です

bull Citrix Gatewayの IPアドレスこれはRADIUSサーバクライアント設定で設定した IPアドレスと同じ IPアドレスである必要がありますCitrix Gatewayは内部 IPアドレスを使して RADIUSサーバーと通信します共有シークレットを構成するときは内部 IPアドレスを使します可性を実現するために 2つのアプライアンスを構成する場合は仮想内部 IPアドレスを使します

bull 共有シークレットbull SafeWordサーバーの IPアドレスとポートデフォルトのポート番号は 1812です


RADIUS認証を構成するには

March 26 2020

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [RADIUS]をクリックし詳細ウィンドウの [ポリシー]タブで [追加]をクリックします3 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [認証ポリシーの作成]ダイアログボックスの [名前]にサーバーの名前をします7 [サーバー]の [IPアドレス]にRADIUSサーバーの IPアドレスをします8 [ポート]にポートをしますデフォルトは 1812です9 [詳細]の [シークレットキー]と [シークレットキーの確認]にRADIUSサーバーのシークレットをします

10 [NAS ID]に識別番号をし[作成]をクリックします11 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします



Citrix Gateway 130

RADIUS認証プロトコルの選択

March 26 2020

Citrix Gatewayでは次のような複数のプロトコルを使してユーザー認証をうように構成された RADIUSの実装がサポートされています

bull パスワード認証プロトコル (PAP)bull Challenge-Handshake Authentication Protocol (CHAP)bull Microsoft Challenge-Handshake Authentication Protocol (MS-CHAPバージョン 1およびバージョン

2)

Citrix Gatewayの展開が RADIUS認証を使するように構成されていてPAPを使するように RADIUSサーバーが構成されている場合は強な共有シークレットを RADIUSサーバーに割り当てることでユーザー認証を強化できます強な RADIUS共有シークレットは字字数字句読点のランダムなシーケンスで構成され少なくとも 22字です可能であればランダムな字成プログラムを使して RADIUS共有秘密を特定します

RADIUSトラフィックをさらに保護するにはCitrix Gatewayアプライアンスまたは仮想サーバーごとに異なる共有シークレットを割り当てますRADIUSサーバでクライアントを定義する場合各クライアントに個別の共有シークレットを割り当てることもできますその場合はRADIUS認証を使する Citrix Gatewayポリシーを個別に構成する必要があります

RADIUSポリシーを作成するときはポリシーの部として Citrix Gatewayで共有シークレットを構成します


IPアドレス抽出の設定

March 26 2020

RADIUSサーバーから IPアドレスを抽出するように Citrix Gatewayを構成できますユーザが RADIUSサーバで認証されるとサーバはユーザに割り当てられたフレーム IPアドレス（アクセス要求の RADIUSアトリビュート8フレーム IPアドレスとも呼ばれる）を返しますIPアドレス抽出のコンポーネントは次のとおりです

bull リモート RADIUSサーバーがCitrix Gatewayにログオンしているユーザーの内部ネットワークからの IPアドレスを提供できるようにします

bull ベンダーでエンコードされたアトリビュートを含めipaddressタイプを使する任意の RADIUSアトリビュートを設定できます

IPアドレス抽出に RADIUSサーバを設定する場合はベンダー IDとアトリビュートタイプを設定しますベンダー IDとアトリビュートはRADIUSクライアントと RADIUSサーバ間のアソシエーションを作成するために使されます


Citrix Gateway 130

bull RADIUSサーバはベンダー識別（ID）を使してRADIUSサーバで設定された IPアドレスのプールからクライアントに IPアドレスを割り当てることができますベンダー IDは内部ネットワークの IPアドレスを提供する RADIUS応答のアトリビュートです値 0は属性がベンダーエンコードされていないことをします

bull アトリビュートタイプはRADIUS応答のリモート IPアドレスアトリビュートです最値は 1で最値は 255です

般的な設定はRADIUSアトリビュートのフレーム IPアドレスを抽出することですベンダー IDが 0に設定されているか指定されていません属性タイプは 8に設定されています

RADIUSサーバからの IPアドレス抽出を設定するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [RADIUS]をクリックし詳細ウィンドウの [ポリシー]タブで RADIUSポリシーを選択し[開く]をクリックします

3 [認証ポリシーの構成]ダイアログボックスで[サーバー]の横にある [変更]をクリックします4 [詳細]の [グループベンダー ID]に値をします5 [グループ属性の種類]に値をし[OK]を 2回クリックします


RADIUSグループ抽出の設定

March 26 2020

RADIUS許可はグループ抽出と呼ばれる法を使して設定できますグループ抽出を構成するとユーザーをCitrix Gatewayに追加するのではなくRADIUSサーバー上のユーザーを管理できます

RADIUS認可を設定するには認証ポリシーを使しグループベンダー ID（ID）グループアトリビュートタイプグループプレフィクスおよびグループセパレータを設定しますポリシーを構成するときは式を追加しポリシーをグローバルまたは仮想サーバにバインドします

Windowsサーバ 2003での RADIUSの構成

Windows Server 2003で RADIUS認証にMicrosoftインターネット認証サービス（IAS）を使している場合はCitrix Gatewayの構成時に次の情報を提供する必要があります

bull ベンダー IDはIASでしたベンダー固有のコードですbull「タイプ」はベンダーによって割り当てられた属性番号ですbull 属性名はIASで定義した属性名のタイプですデフォルト名は CTXSUserグループ =です


Citrix Gateway 130

IASが RADIUSサーバーにインストールされていない場合はコントロールパネルの [プログラムの追加と削除]からインストールできます詳細についてはWindowsオンラインヘルプを参照してください

IASを構成するにはMicrosoft管理コンソール (MMC)を使してIASのスナップインをインストールしますウィザードに従って次の設定を選択します

bull ローカルコンピュータを選択します

bull [リモートアクセスポリシー]を選択しカスタムポリシーを作成します

bull ポリシーの [Windowsグループ]を選択します

bull 次のいずれかのプロトコルを選択します

ndash Microsoft Challenge-Handshake Authentication Protocolバージョン 2 (MS-CHAP v2)ndash Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)ndash Challenge-Handshake Authentication Protocol (CHAP)ndash 暗号化されていない認証（PAPSPAP）

bull「ベンダー固有の属性」を選択します

ベンダー固有の属性はサーバー上のグループで定義したユーザーと Citrix Gatewayのユーザーを致させる必要がありますこの要件を満たすにはベンダー固有の属性を Citrix Gatewayに送信します[RADIUS]が [Standard]であることを確認します

bull RADIUSのデフォルトは 0ですこの番号はベンダーコードに使します

bull ベンダーが割り当てたアトリビュート番号は 0です

これは「ユーザーグループ」属性に割り当てられた番号です属性は字列形式です

bull 属性形式に [字列]を選択します

Attribute値には属性名とグループが必要です

Access Gatewayの場合属性値は CTXSUserGroups=グループ名です売上と財務など 2つのグループが定義されている場合属性値は CTXSUserGroups=salesfinanceです各グループはセミコロンで区切ります

bull [ダイヤルインプロファイルの編集]ダイアログボックスの他のすべてのエントリを削除し[ベンダー固有]と表されているエントリを残します

IASでリモートアクセスポリシーを構成した後Citrix Gatewayで RADIUS認証と承認を構成します

RADIUS認証を構成するときはIASサーバーで構成した設定を使します

Windowsサーバー 2008での認証に RADIUSを構成する

Windows Server 2008ではインターネット認証サービス (IAS)に代わるネットワークポリシーサーバー (NPS)を使して RADIUS認証と承認を構成しますサーバーマネージャーを使して役割としてNPSを追加することでNPSをインストールできます


Citrix Gateway 130

NPSをインストールするときにネットワークポリシーサービスを選択しますインストール後[スタート]メニューの [管理サービス]から NPSを起動することでネットワークの RADIUS設定を構成できますNPSを開くとCitrix Gatewayを RADIUSクライアントとして追加しサーバーグループを構成します

RADIUSクライアントを構成するときは次の設定を選択してください

bull ベンダー名として[RADIUS標準]を選択しますbull Citrix Gatewayで同じ共有シークレットを構成する必要があるため共有シークレットを書き留めます

RADIUSグループにはRADIUSサーバの IPアドレスまたはホスト名が必要ですデフォルト設定は変更しないでください

RADIUSクライアントとグループを構成したら次の 2つのポリシーで設定をいます

bull 接続要求ポリシーネットワークサーバーの種類ネットワークポリシーの条件ポリシーの設定などCitrixGateway接続の設定を構成します

bull 拡張認証プロトコル (EAP)認証とベンダー固有の属性を構成するネットワークポリシー

接続要求ポリシーを構成する場合はネットワークサーバーの種類として [未指定]を選択します次に条件として[NASポートタイプ]を選択し値として [仮想 (VPN)]を選択して条件を構成します

ネットワークポリシーを構成するときは次の設定を構成する必要があります

bull ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPNダイヤルアップ)]を選択します

bull EAPの [暗号化認証 (CHAP)]と [暗号化されていない認証 (PAPおよび SPAP)]を選択します

bull ベンダー固有の属性に [RADIUS標準]を選択します

デフォルトの属性番号は 26ですこのアトリビュートはRADIUS認可に使されます

Citrix Gatewayではサーバー上のグループで定義されたユーザーと Citrix Gateway上のユーザーを致させるためにベンダー固有の属性が必要ですこれはベンダー固有の属性を Citrix Gatewayに送信することによってわれます

bull 属性形式として [字列]を選択します


Citrix Gatewayの場合属性値は CTXSUserGroups=グループ名です売上と財務など 2つのグループが定義されている場合属性値は CTXSUserGroups=salesfinanceです各グループはセミコロンで区切ります

bull 区切り記号はセミコロンコロンスペースピリオドなどのグループを区切るための NPSで使した区切り記号です

IASでリモートアクセスポリシーの構成が完了したらCitrix Gatewayで RADIUS認証と承認を構成できます



Citrix Gateway 130

RADIUS認可を設定するには

March 26 2020

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [RADIUS]をクリックします3 [ポリシー]タブで[追加]をクリックします4 [名前]にポリシーの名前をします5 サーバーの下 [+]をクリックします6 [名前]にRADIUSサーバーの名前をします7 [サーバー]にRADIUSサーバーの IPアドレスとポートをします8 [詳細]で[グループベンダー識別]と [グループ属性タイプ]の値をします9 [パスワードのエンコーディング]で認証プロトコルを選択し[作成]をクリックします



RADIUSユーザアカウンティングの設定

March 26 2020

Citrix Gatewayはユーザーセッションの開始および停メッセージを RADIUSアカウンティングサーバーに送信できます各ユーザセッションに送信されるメッセージにはRFC2866で定義されたアトリビュートのサブセットが含まれます表 1にサポートされる属性とそれらが送信される RADIUSアカウンティングメッセージ（RAD_STARTおよび RAD_STOP）のタイプをします表 2にAcct-Terminate-Cause属性に割り当てることができる定義済みの値と対応する Citrix Gatewayイベントをします

表 1 サポートされている RADIUSアトリビュート

属性意味 RAD_START RAD_STOP

User-Name セッションに関連付けられたユーザーの名前

Session-Id NetScalerセッションID

Acct-Session-Time セッション継続時間（秒）


Citrix Gateway 130


Acct-Terminate-Cause アカウント解約の理由（下記参照）

表 2 RADIUS終端の原因

NetScalerのログアウト法 RADIUS終了の原因

LOGOUT_SESSN_TIMEDOUT RAD_TERM_SESSION_TIMEOUT

LOGOUT_SESSN_INITIATEDBYUSER RAD_TERM_USER_REQUEST

LOGOUT_SESSN_KILLEDBYADMIN RAD_TERM_ADMIN_RESET

LOGOUT_SESSN_TLOGIN RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_MAXLICRCHD RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_CLISECCHK_FAILED RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_PREAUTH_CHANGED RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_COOKIE_MISMATCH RAD_TERM_NAS_REQUEST

LOGOUT_SESSS_DHT RAD_TERM_NAS_REQUEST

LOGOUT_SESSS_2FACTOR_FAIL RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_ICALIC RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_INTERNALERR RAD_TERM_NAS_ERROR

そのほか RAD_TERM_NAS_ERROR

RADIUSユーザアカウンティングを設定するにはポリシーのペアを作成する必要があります最初のポリシーはアカウンティングメッセージを送信する RADIUSサーバを指定する RADIUS認証ポリシーです2つはRADIUSアカウンティングポリシーをアクションとして使するセッションポリシーです

RADIUSユーザアカウンティングを設定するには次の作業をう必要があります

1 RADIUSポリシーを作成しRADIUSアカウンティングサーバを定義しますアカウンティングサーバはRADIUS認証に使するサーバと同じサーバにできます

2 RADIUSユーザアカウンティングサーバを指定するアクションとして RADIUSポリシーを使してセッションポリシーを作成します

3 セッションポリシーをグローバルにバインドしてすべてのトラフィックに適するかCitrix Gateway仮想サーバーにバインドしてその仮想サーバーを流れるトラフィックにのみ適します


Citrix Gateway 130

RADIUSポリシーを作成するには

1 構成ユーティリティーのナビゲーションペインで［Citrix Gateway］ノードを展開し［ポリシー］を展開します

2 [認証]を展開し[RADIUS]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5 [Server]メニューからサーバを選択するか[+]アイコンをクリックしてプロンプトに従って新しい RADIUSサーバを追加します

6 [式]ペインの [保存されたポリシー式]メニューから [ns_true]を選択します7［作成］をクリックします


RADIUSアカウンティングサーバを指定する RADIUSポリシーを設定したら次のようにアクションでこのアカウンティングサーバを適するセッションポリシーを作成します


2「セッション」を選択します3 メインの詳細ペインで[追加]を選択します4 ポリシーの名前をします5 [Action]メニューで [+]アイコンをクリックして新しいセッションアクションを追加します6 セッションアクションの名前をします7 [クライアントエクスペリエンス]タブをクリックします8 [アカウンティングポリシー]メニューで前に作成した RADIUSポリシーを選択します9［作成］をクリックします


セッションポリシーをグローバルにバインドするには


2「セッション」を選択します3 メインの詳細ペインの [操作]メニューから[グローバルバインディング]を選択します4［バインド］をクリックします5 [ポリシー]ウィンドウで前に作成したセッションポリシーを選択し[挿]をクリックします6 [ポリシー]の覧でセッションポリシーの [優先度]エントリをクリックし0〜 64000の値をします7［OK］をクリックします


Citrix Gateway 130

セッションポリシーを Citrix Gateway仮想サーバーにバインドするには

1 構成ユーティリティーのナビゲーションペインで［Citrix Gateway］ノードを展開し［仮想サーバー］を選択します

2 メインの詳細ウィンドウで仮想サーバーを選択し[編集]をクリックします3 [Policies]ペインで[+]アイコンをクリックしてポリシーを選択します4「ポリシーの選択」メニューから「セッション」を選択し「タイプの選択」メニューで「要求」が選択されていることを確認します

5［続］をクリックします6［バインド］をクリックします7 [ポリシー]ウィンドウで前に作成したセッションポリシーを選択し[挿]をクリックします8［OK］をクリックします


SAML認証の構成

March 26 2020

セキュリティーアサーションマークアップ語 (SAML)はIDプロバイダー (IdP)とサービスプロバイダーの間で認証と承認を交換するための XMLベースの標準ですCitrix GatewayはSAML認証をサポートしています

SAML認証を構成するときは次の設定を作成します

bull IdP証明書名IdPの秘密鍵に対応する公開鍵ですbull リダイレクト URLこれは認証 IdPの URLです認証されていないユーザーはこの URLにリダイレクトされます

bull [ユーザフィールド] IdPが SubjectタグのNameIdentifierタグとは異なる形式でユーザー名を送信する場合このフィールドを使してユーザー名を抽出できますこれはオプションの設定です

bull 署名証明書名これはIdPへの認証要求に署名するために使される Citrix Gatewayサーバーの秘密鍵です証明書名を設定しない場合アサーションは署名なしに送信されるか認証要求は拒否されます

bull SAML発者名この値は認証要求が送信されるときに使されます発者フィールドにはアサーションが送信される権限をす意の名前が必要ですこれはオプションのフィールドです

bull デフォルトの認証グループこれはユーザの認証元となる認証サーバ上のグループですbull 2つのファクターこの設定では2要素認証を有効または無効にしますbull 署名されていないアサーションを拒否します有効にすると署名証明書名が構成されていない場合Citrix

Gatewayはユーザー認証を拒否します

Citrix GatewayはHTTP POSTバインディングをサポートしていますこのバインディングでは送信側は必要な情報を持つフォーム動投稿を含む 200 OKでユーザーに応答します具体的にはそのデフォルトフォームに


Citrix Gateway 130

はフォームがリクエストかレスポンスかに応じてSAMLRequestと SAMLResponseという 2つの表フィールドが含まれている必要がありますフォームには RelayStateも含まれていますRelayStateは証明書利者によって処理されない任意の情報を送信するために送信側によって使される状態または情報です証明書利者は送信側が RelayStateとともにアサーションを取得したときに送信側が次に何をすべきかを知るように単に情報を送り返しますRelayStateを暗号化または難読化することをお勧めします

Active Directoryフェデレーションサービス 20の構成

フェデレーションサーバーの役割で使する任意の Windows Server 2008 コンピューターまたは WindowsServer 2012コンピューターでActive Directoryフェデレーションサービス (AD FS) 20を構成できますCitrixGatewayで動作するように AD FSサーバーを構成する場合は証明書利者の信頼ウィザードを使して次のパラメーターを構成する必要があります

Windows Server 2008パラメーター

bull 証明書利者の信頼Citrix Gateway のメタデータファイルの場所（httpsvserverfqdncomnsmetadataxmlなど）を指定しますここでvserverfqdncomは Citrix Gateway仮想サーバーの完全修飾ドメイン名（FQDN）ですFQDNは仮想サーバーにバインドされたサーバー証明書にあります

bull 承認規則証明書利者へのアクセスをユーザーに許可または拒否できます

サーバー 2012のパラメーター


bull AD FSプロファイルAD FSプロファイルを選択します

bull 証明書Citrix Gatewayは暗号化をサポートしていません証明書を選択する必要はありません

bull SAML 20 WebSSOプロトコルのサポートを有効にしますこれによりSAML 20 SSOのサポートが有効になりますCitrix Gateway 仮想サーバーの URL（httpsnetScalervirtualServerNamecomcgisamlauthなど）を指定します

この URLはCitrix Gatewayアプライアンス上のアサーションコンシューマーサービスの URLですこれは定数パラメーターでありCitrix Gatewayはこの URLに対する SAML応答を想定しています

bull 証明書利者の信頼識別「Citrix Gateway」という名前をしますこれは証明書利者を識別するURLですたとえばhttpsnetscalerGatewayvirtualServerNamecomadfsservicestrust


bull 要求ルールを構成します発変換規則を使して LDAP属性の値を構成し「要求として LDAP属性を送信」テンプレートを使できます次に次の情報を含む LDAP設定を構成します

ndash メールアドレスndash sAMAccountName


Citrix Gateway 130

ndash ユーザープリンシパル名 (UPN)ndash memberOf

bull 証明書の署名署名検証証明書を指定するには[中継者のプロパティ]を選択して証明書を追加します

署名証明書が 2048ビット未満の場合は警告メッセージが表されます警告を無視して続できますテスト展開を設定している場合はリレーパーティで証明書失効リスト（CRL）を無効にしますチェックを無効にしないとAD FSは CRLで証明書の検証を試みます

CRL を無効にするには次のコマンドを実しますSet-ADFWRelayingPartyTrust - SigningCertfi-cateRevocatonCheck None-TargetName NetScaler

設定を構成したら中継パーティの信頼ウィザードを完了する前に証明書利者のデータを確認しますCitrixGateway仮想サーバー証明書はhttpsvserverfqdncomcgisamlauthなどのエンドポイント URLで確認します

中継パーティの信頼ウィザードでの設定の構成が完了したら構成された信頼を選択しプロパティを編集します次のことをう必要があります

bull セキュアハッシュアルゴリズムを SHA-1に設定します

注Citrixでは SHA-1のみがサポートされています

bull 暗号化証明書を削除します暗号化されたアサーションはサポートされていません

bull 以下を含む要求ルールを編集します

ndash 変換規則の選択ndash 要求ルールの追加ndash 要求規則テンプレートの選択要求として LDAP属性を送信するndash 名前をつけるndash 属性ストアの選択Active Directoryndash ltActive Directory parametersgtLDAP属性を選択ndash「名前 ID」として「外出要求ルール」を選択します

注属性名 XMLタグはサポートされていません

bull シングルサインオフのログアウト URLを設定します要求ルールは [ログアウト URLの送信]ですカスタムルールは次のようになります

pre codeblock =gt issue(Type = rdquologoutURLrdquo Value = rdquohttpsltadfsfqdncomgtadfslsrdquo Properties[rdquohttpschemasxmlsoaporgws200505identityclaimpropertiesattributenamerdquo] = rdquournoasisnamestcSAML20attrname-formatunspecifiedrdquo)

AD FSの設定を構成したらAD FS署名証明書をダウンロードしCitrix Gatewayで証明書キーを作成しますその後証明書とキーを使してCitrix Gatewayで SAML認証を構成できます


Citrix Gateway 130

SAML 2要素認証の設定

SAMLの 2要素認証を設定できますLDAP認証を使して SAML認証を構成する場合は次のガイドラインに従ってください

bull SAMLがプライマリ認証タイプである場合はLDAPポリシーで認証を無効にしグループ抽出を設定します次にLDAPポリシーをセカンダリ認証タイプとしてバインドします

bull SAML認証ではパスワードは使されずユーザー名のみが使されますまたSAML認証は認証が成功した場合にのみユーザーに通知しますSAML認証が失敗した場合ユーザーには通知されません失敗応答は送信されないためSAMLはカスケードの最後のポリシーか唯のポリシーである必要があります

bull 不透明な字列ではなく実際のユーザー名を構成することをお勧めしますbull SAMLをセカンダリ認証タイプとしてバインドすることはできません


SAML認証を設定するには

March 26 2020


2 ナビゲーションペインで[SAML]をクリックします


4 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします


6 [名前]にサーバープロファイルの名前をします

7「IdP証明書名」で証明書を選択するか「インストール」をクリックしますこれはSAMLサーバーまたはIDPサーバーにインストールされた証明書です

[インストール]をクリックした場合は証明書と秘密キーを追加します詳しくは「証明書のインストールと管理」を参照してください

8「リダイレクト URL」に認証アイデンティティプロバイダ (IdP)の URLをします

SAMLサーバーへのユーザーログオンの URLですこれはCitrix Gatewayが最初の要求をリダイレクトするサーバーです

9「ユーザーフィールド」に抽出するユーザー名をします

10「署名証明書名」で順 9で選択した証明書の秘密キーを選択します


Citrix Gateway 130

これはAAA 仮想 IP アドレスにバインドされる証明書ですSAML 発者名はlbexamplecom やngexamplecomなどユーザーがログオンする完全修飾ドメイン名 (FQDN)です

11「SAML 発者名」にアプライアンスが初期認証（GET）リクエストを送信する負荷分散または CitrixGateway仮想 IPアドレスの FQDNをします

12 [既定の認証グループ]にグループ名をします

13 2ファクタ認証を有効にするには[2ファクタ]で [ON]をクリックします

14 署名なしアサーションを拒否を無効にしますSAMLまたは IDPサーバーが SAML応答に署名している場合にのみこの設定を有効にします


16 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします


SAML認証を使して Citrix Gatewayにログインする

March 26 2020

SAML認証を使してCitrix VPNクライアントとWorkspaceアプリを使して Citrix Gatewayにログインできますこのプラグインは認証仮想サーバー (nfactor認証)にバインドされた度な SAMLポリシーを通じてSAML認証のみをサポートします

重要 SAMLポリシーが VPN仮想サーバー ( nfactor認証)に直接バインドされている場合プラグインは SAML認証をサポートしません

サポートされているプラットフォームとアプリ

次の表はCitrix Gatewayへのログイン時に SAML認証をサポートするプラットフォームとアプリケーションの覧です

製品バージョン

Citrix Gateway バージョン 120ビルド 4116以降

VPNクライアントバージョン 121は 4937以降をビルドしますサポートされているプラットフォームWindows 7Windows 8Windows 81Windows 10


Citrix Gateway 130


Workspaceアプリのバージョン Windows 1808 Mac 1808

度な SAMLポリシーを使した SAML認証の構成

度な SAMLポリシーを使した SAML認証の設定の詳細については「SAML IdPとしての Citrix ADC」を参照してください


SAML認証の認証の改善

March 26 2020

この機能は SAML知識を持つユーザ向けでありこの情報を使するには基本的な認証能が必要ですこの情報を使するには読者が FIPSを理解している必要があります

以下の Citrix ADC機能はSAML 20仕様と互換性のあるサードパーティのアプリケーションサーバーで使できます

bull SAMLサービスプロバイダ (SP)bull SAML IDプロバイダー (IdP)

SPと IdPはクラウドサービス間でシングルサインオン（SSO）を可能にしますSAML SP機能はIdPからのユーザーの要求に対処する法を提供しますIdPはサードパーティのサービスまたは別の Citrix ADCアプライアンスである可能性がありますSAML IdP機能はユーザーのログオンをアサートしSPによって消費される要求を提供するために使されます

SAMLサポートの部としてIdPモジュールと SPモジュールの両がピアに送信されるデータにデジタル署名しますデジタル署名にはSPからの認証要求IdPからのアサーションこれらの 2つのエンティティ間のログアウトメッセージが含まれますデジタル署名はメッセージの信頼性を検証します

SAML SPおよび IdPの現在の実装はパケットエンジンでシグニチャ計算をいますこれらのモジュールはSSL証明書を使してデータに署名しますFIPS準拠の Citrix ADCではSSL証明書の秘密鍵はパケットエンジンまたはユーザー空間では利できないため現在の SAMLモジュールは FIPSハードウェアに対応していません

このドキュメントではシグニチャ計算を FIPSカードにオフロードするメカニズムについて説明します公開鍵が利可能であるため署名の検証はソフトウェアでわれます


Citrix Gateway 130

解決策

SAML機能セットは署名オフロードに SSL APIを使するように拡張されました影響を受ける SAMLサブ機能の詳細についてはdocscitrixcomを参照してください

1 SAML SPポストバインディングmdash認証リクエストの署名

2 SAML IdPポストバインディングmdashアサーション応答両の署名

3 SAML SPシングルログアウトシナリオmdash SPによって開始されたモデルでのログアウト要求の署名と IdPによって開始されたモデルでのログアウト応答の署名

4 SAML SPアーティファクトバインディングmdashアーティファクト解決リクエストの署名

5 SAML SPリダイレクトバインディングmdash認証要求の署名

6 SAML IdPリダイレクトバインディングmdash応答アサーション両の署名

7 SAML SP暗号化のサポートmdashアサーションの復号化

プラットフォーム

APIは FIPSプラットフォームにのみオフロードできます

構成

オフロード設定はFIPSプラットフォーム上で動的に実されます

ただしFIPSハードウェアのユーザー空間では SSL秘密キーを使できないためFIPSハードウェアで SSL証明書を作成する際に若の構成が変更されます

設定情報は次のとおりです

bull add ssl fipsKey fips-key

次にCSRを作成しCAサーバで使して証明書を成する必要がありますその証明書を nsconfigslにコピーできますファイルが fips3certcerであると仮定しましょう

bull add ssl certKey fips-cert -cert fips3certcer -fipsKey fips-key

次にSAML SPモジュールの SAMLアクションでこの証明書を指定する必要があります

bull set samlAction ltnamegt -samlSigningCertName fips-cert

同様にSAML IdPモジュールの samlIdpProfileでこれを使する必要があります

bull set samlidpprofile fipstest ndashsamlIdpCertName fips-cert

初めて上記の fipsキーはありませんFIPSキーがない場合は「httpssupportcitrixcomservletKbServletdownload9539-102-665378NS9000_FIPS_6[1][1]1pdf」の説明に従って作成します


Citrix Gateway 130

bull create ssl fipskey ltfipsKeyNamegt -modulus ltpositive_integergt [-exponent ( 3 | F4 )]

bull create certreq ltreqFileNamegt -fipskeyName ltstringgt


TACACS+認証の設定

April 9 2020

TACACS+サーバを認証に設定できますRADIUS認証と同様にTACACS+は秘密キーIPアドレスおよびポート番号を使しますデフォルトのポート番号は 49です

TACACS+サーバーを使するように Citrix Gatewayを設定するにはサーバーの IPアドレスと TACACS+シークレットを指定しますポートを指定する必要があるのは使しているサーバのポート番号がデフォルトのポート番号である 49以外の場合だけです

ユーザインターフェイスを使して TACACS+認証を設定するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ TACACS]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [ Name ]フィールドにポリシーの名前をします5 [ Server ]フィールドの横にある [ Add ]をクリックして新しい TACACSサーバを作成するか[ Edit ]をクリックして既存の TACACSサーバを変更します

6 [名前]フィールドにサーバーの名前をします7 [ IPアドレス]に IPアドレスをします8 [ポート]でデフォルトのポート番号 49を使します9 [ TACACSキー]フィールドにキーをします[ TACACSキーの確認]フィールドに確認のために同じキーをします

10 [詳細]をクリックします11「認証」で「ON」を選択し「作成」をクリックします12 [認証 TACACSポリシーの作成]ダイアログボックスで[式]を選択し[作成]をクリックして[閉じる]を

クリックします

コマンドラインインターフェイスを使して TACACS+認証を設定するには次のコマンドをします

1 add authentication tacacsAction ltnamegt [-serverIP ltip_addr|ipv6_addr|gt][-serverPort ltportgt] [-authTimeout ltpositive_integergt]

2 -tacacsSecret 3


Citrix Gateway 130

4 [-authorization ( ON | OFF )] [-accounting ( ON | OFF )][-auditFailedCmds ( ON | OFF )] [-groupAttrName ltstringgt][-defaultAuthenticationGroup ltstringgt] [-Attribute1 ltstringgt] [-Attribute2 ltstringgt] [-Attribute3 ltstringgt] [-Attribute4 ltstringgt]

5 [-Attribute5 ltstringgt] [-Attribute6 ltstringgt] [-Attribute7 ltstringgt] [-Attribute8 ltstringgt] [-Attribute9 ltstringgt] [-Attribute10 ltstringgt]

6 [-Attribute11 ltstringgt] [-Attribute12 ltstringgt] [-Attribute13 ltstringgt][-Attribute14 ltstringgt] [-Attribute15 ltstringgt] [-Attribute16 ltstringgt]

Citrix Gatewayで TACACS+サーバー設定を構成したらポリシーをバインドしてアクティブにしますポリシーはグローバルサーバレベルまたは仮想サーバレベルでバインドできます認証ポリシーのバインドについて詳しくは「認証ポリシーのバインド」を参照してください


基本設定のクリアTACACS設定をクリアしない

March 26 2020

概要

この拡張機能ではclear configコマンドの実時にRBA（ロールベースアクセス）関連のすべての設定を消去しないことに重点を置いています

現在の clear configコマンドは次の 3つのレベルのいずれかで実されます

bull Basic

bull Extended

bull Full

選択したレベルに基づいてNetScaler構成がクリアされ場出荷時のデフォルトにリセットされます

使するコマンドは次のとおりです

1 clear ns config [-force] ltlevelgt

新しいコマンドはすべての RBA関連設定の削除を許可拒否するノブを追加します


Citrix Gateway 130

新規コマンド

RBA構成のクリア機能について説明します

1 YESNOノブデフォルトYES

管理者はRBA構成を保持するかどうかを決定します

2 クリア設定の基本レベルのみがサポートされています

3 次の設定はクリアされません

bull Addbind system usergroup

bull Add cmd policy

bull TACACSコマンド(add TACACS actionpolicy)

bull Bind system global

注 TACACS関連の設定（actionpolicy）はポリシーがシステムグローバルにバインドされている場合またはクリアされている場合保持されます

CLIの設定

使したコマンド

1 clear config [ ‒ force] ltlevelgt [-RBAconfig]

デフォルトではYESに設定され指定されたレベルに基づいて設定がクリアされます

mdashRBAconfigが NOに設定されている場合RBA関連の設定は保持されます以下が含まれます

bull Add bind system user groupbull Bind system globalbull tacacs関連コマンド (add tacacs actionpolicy))bull Add cmd policy


多要素認証の設定

March 26 2020

Citrix Gatewayでは次の 2種類の多要素認証を構成できます


Citrix Gateway 130

bull 認証の優先度レベルを設定するカスケード認証bull 2つの種類の認証を使してユーザーがログオンする必要がある 2要素認証

複数の認証サーバがある場合は認証ポリシーのプライオリティを設定できます設定した優先度レベルによって認証サーバーがユーザーの資格情報を検証する順序が決まりますプライオリティ番号がさいポリシーは番号のきいポリシーよりも優先されます

2つの異なる認証サーバに対してユーザを認証させることができますたとえばLDAP認証ポリシーと RSA認証ポリシーを設定できますユーザーがログオンすると最初にユーザー名とパスワードで認証されます次に個識別番号 (PIN)と RSAトークンからのコードで認証します


カスケード認証の設定

March 26 2020

認証ではポリシーの優先順位付けを使して複数の認証サーバのカスケードを作成できますカスケードを構成するとシステムはカスケードポリシーで定義されている各認証サーバーを経由してユーザーの資格情報を検証します優先順位付けされた認証ポリシーは昇順にカスケードされ1〜 9999の範囲の優先順位値を持つことができますこれらの優先順位はグローバルサーバレベルまたは仮想サーバレベルでポリシーをバインドするときに定義します

認証中にユーザーがログオンすると仮想サーバーが最初にチェックされ次にグローバル認証ポリシーがチェックされますユーザーが仮想サーバとグローバル両の認証ポリシーに属している場合は仮想サーバからのポリシーが最初に適され次にグローバル認証ポリシーが適されますグローバルにバインドされた認証ポリシーをユーザーに受信させる場合はポリシーの優先順位を変更しますグローバル認証ポリシーのプライオリティ番号が 1で仮想サーバにバインドされた認証ポリシーのプライオリティ番号が 2の場合グローバル認証ポリシーが優先されますたとえば仮想サーバに 3つの認証ポリシーをバインドし各ポリシーの優先順位を設定できます

ユーザーがプライマリカスケード内のポリシーに対する認証に失敗した場合またはそのユーザーがプライマリカスケード内のポリシーに対する認証に成功したがセカンダリカスケード内のポリシーに対する認証に失敗した場合認証プロセスは停しユーザーはエラーページにリダイレクトされます

注複数のポリシーを仮想サーバーまたはグローバルにバインドする場合はすべての認証ポリシーに意の優先順位を定義することをお勧めします

グローバル認証ポリシーの優先順位を設定するには



Citrix Gateway 130

2 グローバルにバインドされているポリシーを選択し[アクション]で [グローバルバインディング]をクリックします

3 [認証グローバルポリシーのバインドバインド解除]ダイアログボックスの [優先度]で番号をし[OK]をクリックします




2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [認証]タブをクリックし[プライマリ]または [セカンダリ]をクリックします4 認証ポリシーの横の [優先度]に番号をし[OK]をクリックします


2要素認証の設定

March 26 2020

Citrix Gatewayは2要素認証をサポートしています通常Citrix Gatewayはユーザーの認証時に構成された認証法のいずれかを使してユーザーの認証に成功するとすぐに認証プロセスを停します場合によってはあるサーバーに対してユーザーを認証する必要がありますが別のサーバーからグループを抽出する必要がありますたとえばネットワークが RADIUSサーバに対してユーザーを認証しRSA SecurIDトークン認証も使していてユーザーグループがそのサーバに格納されている場合グループを抽出できるようにそのサーバに対してユーザーを認証する必要がある場合があります

ユーザーが 2つの認証タイプを使して認証されそのうちの 1つがクライアント証明書認証の場合証明書認証ポリシーを 2番の認証法として構成できますたとえばプライマリ認証タイプとして LDAPを使しセカンダリ認証としてクライアント証明書を使しますユーザーはユーザー名とパスワードを使してログオンするとネットワークリソースにアクセスできます

2要素認証を設定する場合認証タイプがプライマリまたはセカンダリのどちらであるかを選択します

2要素認証を構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ポリシー]タブで[グローバルバインド]をクリックします


Citrix Gateway 130

3 [認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスで[プライマリ]をクリックします

4 [ポリシーの挿]をクリックします5 [ポリシー名]で認証ポリシーを選択します6 [セカンダリ]をクリックし順 4と 5を繰り返して[OK]をクリックします


シングルサインオンの認証タイプの選択

March 26 2020

Citrix Gatewayでシングルサインオンと 2要素認証を構成している場合はシングルサインオンに使するパスワードを選択できますたとえばLDAPがプライマリ認証タイプとして設定されRADIUSがセカンダリ認証タイプとして設定されているとしますユーザーがシングルサインオンを必要とするリソースにアクセスするとデフォルトでユーザー名とプライマリパスワードが送信されますセッションプロファイル内のWebアプリケーションへのシングルサインオンに使するパスワードを設定します

シングルサインオンの認証を構成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし次のいずれかの操作をいますbull 新しいプロファイルを作成するには[追加]をクリックしますbull 既存のプロファイルを修正するには[開く]をクリックします

3 [クライアントエクスペリエンス]タブで[資格情報インデックス]の横にある [グローバルに上書き]をクリックし[プライマリ]または [セカンダリ]を選択します

4 これが新しいプロファイルの場合は[作成]をクリックし[閉じる]をクリックします5 既存のプロファイルを修正する場合は[OK]をクリックします


クライアント証明書および LDAP 2要素認証の設定

March 26 2020


Citrix Gateway 130

LDAPでのスマートカード認証を使するなどLDAP認証および承認を伴うセキュアクライアント証明書を使できますユーザーがログオンしクライアント証明書からユーザー名が抽出されますクライアント証明書は認証のプライマリ形式でLDAPはセカンダリ形式ですクライアント証明書の認証はLDAP認証ポリシーよりも優先される必要がありますポリシーの優先順位を設定する場合はLDAP認証ポリシーに割り当てる番号よりもさい番号をクライアント証明書認証ポリシーに割り当てます

クライアント証明書を使するにはWindows Server 2008の証明書サービスなどのエンタープライズ証明機関(CA)がActive Directoryを実しているコンピューターで実されている必要がありますCAを使してクライアント証明書を作成できます

LDAP認証および認可でクライアント証明書を使するにはSSL (Secure Sockets Layer)を使するセキュアな証明書である必要がありますLDAPでセキュアなクライアント証明書を使するにはユーザーデバイスにクライアント証明書をインストールしCitrix Gatewayに対応するルート証明書をインストールします

クライアント証明書を設定する前に次の操作をいます

bull 仮想サーバを作成しますbull LDAPサーバーの LDAP認証ポリシーを作成しますbull LDAPポリシーの式を True値に設定します

LDAPを使してクライアント証明書認証を構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で[証明書]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にポリシーの名前をします5 [認証の種類]で[証明書]を選択します6 [サーバー]の横にある [新規]をクリックします7 [名前]にサーバーの名前をし[作成]をクリックします8 [認証サーバーの作成]ダイアログボックスの [名前]にサーバーの名前をします9 [2係数]の横にある [オン]を選択します

10 [ユーザー名]フィールドで[件名CN]を選択し[作成]をクリックします11 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします

証明書認証ポリシーを作成したらポリシーを仮想サーバーにバインドします証明書認証ポリシーをバインドした後LDAP認証ポリシーを仮想サーバーにバインドします

重要 LDAP認証ポリシーを仮想サーバーにバインドする前に証明書認証ポリシーを仮想サーバーにバインドする必要があります


Citrix Gateway 130

Citrix Gatewayにルート証明書をインストールするには

証明書認証ポリシーを作成したらルート証明書を CAから Base64形式でダウンロードしてインストールしコンピュータに保存しますその後ルート証明書を Citrix Gatewayにアップロードできます


2 詳細ペインで［Install］をクリックします3 [証明書-キーペア名]に証明書の名前をします4「証明書ファイル名」で「参照」をクリックしドロップダウンボックスで「アプライアンス」または「ローカル」を選択します

5 ルート証明書に移動し[開く][インストール]の順にクリックします

ルート証明書を仮想サーバーに追加するには

Citrix Gatewayにルート証明書をインストールしたら仮想サーバーの証明書ストアに証明書を追加します

重要スマートカード認証にルート証明書を仮想サーバーに追加する場合は次の図にすように[CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります

図 1ルート証明書を CAとして追加する


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします

3 [証明書]タブの [使可能]で証明書を選択し[追加]の横にあるドロップダウンボックスで [CA]をクリックし[OK]をクリックします

4 順 2を繰り返します

5 [証明書]タブで[SSLパラメーター]をクリックします

6 [その他]で[クライアント認証]を選択します

7 [その他]の [クライアント証明書]の横にある [オプション]を選択し[OK]を 2回クリックします

8 クライアント証明書を構成したらCitrix Gatewayプラグインを使して Citrix Gatewayにログオンして認証をテストします複数の証明書がインストールされている場合は正しい証明書を選択するように求めるプロンプトが表されます証明書を選択するとログオン画が表され証明書から取得した情報がされたユーザー名が表されますパスワードをし[ログイン]をクリックします

ログオン画の [User Name]フィールドに正しいユーザー名が表されない場合はLDAPディレクトリのユーザーアカウントとグループを確認しますCitrix Gatewayで定義されているグループはLDAPディレクトリ内のグループと同じである必要がありますActive Directoryでドメインルートレベルでグループを構成しますドメイ


Citrix Gateway 130

ンルートレベルにない Active Directoryグループを作成するとクライアント証明書の読み取りが不正確になることがあります

ユーザーとグループがドメインのルートレベルでない場合Citrix Gateway のログオンページにはActiveDirectoryで構成されているユーザー名が表されますたとえばActive Directoryに [ユーザー]というフォルダがあり証明書には [CN=ユーザー]と表されますログオンページの [ユーザー名]に [ユーザー]と表されます

グループとユーザーアカウントをルートドメインレベルに移動しない場合はCitrix Gatewayで証明書認証サーバーを構成するときにユーザー名フィールドとグループ名フィールドを空のままにします


シングルサインオンの設定

March 26 2020

Citrix GatewayはWindowsでのシングルサインオンWebアプリケーション（SharePointなど）ファイル共有Web Interfaceへのシングルサインオンをサポートするように構成できますシングルサインオンはユーザーがアクセスインターフェイスのファイル転送ユーティリティまたは通知領域の Citrix Gatewayアイコンメニューからアクセスできるファイル共有にも適されます

ユーザーがログオンするときにシングルサインオンを構成するとログオン情報をもう度しなくても動的に再びログオンします


Windowsでのシングルサインオンの設定

March 26 2020

ユーザーはデスクトップから Citrix Gatewayプラグインを起動して接続を開きますユーザーがWindowsにログオンしたときに Citrix Gatewayプラグインが動的に起動するように指定するにはシングルサインオンを有効にしますシングルサインオンを構成するとユーザーのWindowsログオン資格情報が Citrix Gatewayに渡され認証がわれますCitrix Gatewayプラグインのシングルサインオンを有効にするとインストールスクリプトや動ドライブマッピングなどのユーザーデバイスでの操作が容易になります

ユーザーデバイスが組織のドメインにログオンしている場合にのみシングルサインオンを有効にしますシングルサインオンが有効でドメインにないデバイスからユーザーが接続している場合ユーザーはログオンするように求められます


Citrix Gateway 130

シングルサインオンをWindowsでグローバルに構成するかセッションポリシーにアタッチされたセッションプロファイルを使して構成します

Windowsでシングルサインオンをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[Windowsでのシングルサインオン]をクリックし[OK]をクリックします

セッションポリシーを使してWindowsでシングルサインオンを構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[Windowsでのシングルサインオン]の横にある [グローバルに上書き][Windowsでのシングルサインオン][OK]の順にクリックします

7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします


Webアプリケーションへのシングルサインオンの構成

March 26 2020

Webベース認証を使する内部ネットワーク内のサーバーにシングルサインオンを提供するように Citrix Gatewayを構成できますシングルサインオンを使するとSharePointサイトやWeb InterfaceなどのカスタムホームページにユーザーをリダイレクトできますまたCitrix Gatewayプラグインを使してホームページで構成されたブックマークまたはユーザーがWebブラウザでしたWebアドレスからリソースへのシングルサインオンを構成することもできます

ホームページを SharePointサイトまたはWeb Interfaceにリダイレクトする場合はサイトのWebアドレスを指定しますCitrix Gatewayまたは外部認証サーバーによってユーザーが認証されるとユーザーは指定されたホ


Citrix Gateway 130

ームページにリダイレクトされますユーザクレデンシャルはWebサーバに透過的に渡されますWebサーバーが資格情報を受けれるとユーザーは動的にログオンしますWebサーバがクレデンシャルを拒否するとユーザ名とパスワードを要求する認証プロンプトが表されます

Webアプリケーションへのシングルサインオンはグローバルに構成することもセッションポリシーを使して構成することもできます

Webアプリケーションへのシングルサインオンをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]をクリックし

[OK]をクリックします

セッションポリシーを使してWebアプリケーションへのシングルサインオンを構成するには


2 詳細ペインの [ポリシー]タブでセッションポリシーを選択し[開く]をクリックします3 [セッションポリシーの構成]ダイアログボックスで[要求プロファイル]の横にある [変更]をクリックします

4 [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]の横にある [グローバル上書き][Webアプリケーションへのシングルサインオン][OK]の順にクリックします

WebアプリケーションへのシングルサインオンのHTTPポートを定義するには

シングルサインオンは宛先ポートが HTTPポートとなされるネットワークトラフィックに対してのみ試されますHTTPトラフィックにポート 80以外のポートを使するアプリケーションへのシングルサインオンを許可するにはCitrix Gatewayで 1つ以上のポート番号を追加します複数のポートを有効にできますポートはグローバルに設定されます


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします

3 [ネットワークの構成]タブで[詳細設定]をクリックします

4 [HTTPポート]にポート番号をし[追加]をクリックし[OK]を 2回クリックします

追加するポートごとにステップ 4を繰り返すことができます


Citrix Gateway 130

注内部ネットワーク内のWebアプリケーションがパブリック IPアドレスを使している場合シングルサインオンは機能しませんシングルサインオンを有効にするにはクライアントレスアクセスまたは Citrix Gatewayプラグインがユーザーデバイス接続に使されるかどうかに関係なくグローバルポリシー設定の部として分割トンネリングを有効にする必要がありますグローバルレベルで分割トンネリングを有効にできない場合はプライベートアドレス範囲を使する仮想サーバを作成します


LDAPを使したWebアプリケーションへのシングルサインオンの構成

March 26 2020

シングルサインオンを構成しユーザープリンシパル名 (UPN)を使してusernamedomaincomの形式でログオンすると既定ではシングルサインオンが失敗しユーザーは認証を 2回う必要がありますユーザーログオンにこの形式を使する必要がある場合はLDAP認証ポリシーを変更してこの形式のユーザー名を受けれるようにします

Webアプリケーションへのシングルサインオンを構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 詳細ペインの [ポリシー]タブでLDAPポリシーを選択し[開く]をクリックします3 [認証ポリシーの構成]ダイアログボックスで[サーバー]の横にある [変更]をクリックします4 [接続の設定]の [ベース DN (ユーザーの場所)]に「DC=ドメイン名 DC=com」とします5 [管理者バインドDN]に「LDAPaccountdomainnamecom」としますドメイン名comはドメインの名前です

6 [管理者パスワード]と [管理者パスワードの確認]にパスワードをします7 [その他の設定]の [サーバーログオン名の属性]に「UserPrincipalName」とします8 [グループ属性]にmemberOfとします9「サブ属性名」に「CN」とします

10 [ SSO名の属性]にユーザーがログオンする形式をし[ OK]を 2回クリックしますこの値は[アカウント名]または [ユーザープリンシパル名]のいずれかです



Citrix Gateway 130

ドメインへのシングルサインオンの設定

April 9 2020

ユーザーが Citrix Virtual Appsを実しているサーバーに接続しSmartAccessを使している場合はサーバーファームに接続するユーザーのシングルサインオンを構成できますセッションポリシーとプロファイルを使して公開アプリケーションへのアクセスを構成する場合はサーバーファームのドメイン名を使します

またネットワーク内のファイル共有にシングルサインオンを構成することもできます

ドメインへのシングルサインオンを構成するには



4 [セッションプロファイルの構成]ダイアログボックスの [公開アプリケーション]タブの [シングルサインオンドメイン]で [グローバル上書き]をクリックしドメイン名をして [OK]を 2回クリックします

Citrix Virtual Appsで機能する Citrix Gateway構成について詳しくは「Citrix Gatewayと Citrix Virtual Appsand Desktopsの統合」を参照してください


Microsoft Exchange 2010でシングルサインを構成する

March 26 2020

以下のセクションではCitrix GatewayでのMicrosoft Exchange 2010のシングルサインオン（SSO）の構成について説明しますOutlook Webアクセス (OWA) 2010の SSOは次の条件では動作しません

bull Microsoft Exchange 2010でフォームベースの認証を使しますbull 認証認可および監査トラフィック管理ポリシーを使した仮想サーバのロードバランシング

注

この設定は認証認可および監査トラフィック管理ポリシーを持つロードバランシング仮想サーバに対してだけ機能しますクライアントレス VPNを使した OWA 2010の SSOでは機能しません


Citrix Gateway 130

次の順はCitrix GatewayでMicrosoft Exchange 2010の SSOを構成する前に考慮する必要がある前提条件です

bull SSOフォームのアクションURLはOWA 2010では異なりますトラフィック管理ポリシーを変更する必要があります

bull logonaspx要求で PBackクッキーを設定するには書き換えポリシーが必要です通常のシナリオではクライアントで PBackクッキーを設定し[送信]をクリックします

bull SSOを使している場合logonaspxへの応答が消費されCitrix Gatewayがフォーム要求を成しますクッキーはフォーム送信要求に添付されていません

bull OWAサーバーはフォーム送信要求で PBackクッキーを期待します書き換えポリシーはフォーム送信要求に PBackクッキーをアタッチするために必要です

CLIを使して次の操作を実します

1 認証認可および監査トラフィック管理の設定

add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL rdquoowaauthowardquo-userField username -passwdField password -ssoSuccessRule rdquohttpRESSET_COOKIECOOKIE(rdquocadatardquo)VALUE(rdquocadatardquo)LENGTHGT(70rdquo-responsesize 15000 -submitMethod POST

2 トラフィック管理ポリシーを設定しポリシーをバインドする

bull add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSOAction OWA_Form_SSO_SSOPro

bull add tm trafficPolicy owa2k10_pol rdquoHTTPREQURLCONTAINS(rdquoowaauthlogonaspxrdquo)rdquoOWA_2010_Prof

bull bind tm global -policyName owa2k10_pol -priority 100

CLIを使した設定の書き換え

コマンドプロンプトで次のようにします

bull add rewrite action set_pback_cookie insert_after rdquohttpREQCOOKIEVALUE(rdquoOutlookSessionrdquo)rdquordquordquoPBack=0rdquordquo-bypassSafetyCheck YES

bull add rewrite policy set_pback_cookie rdquohttpREQURLCONTAINS(rdquologonaspxrdquo)rdquoset_pback_cookie

bull bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT


Citrix Gateway 130

代替書き換え構成

まれにMicrosoft Outlookが OWAセッションクッキーを発しない可能性がありPbackクッキーも挿されないことがありますこの問題は上記のコマンドを実して書き換え構成を実装した後に発する可能性があります

このようなシナリオを克服し回避策として書き換え設定の代わりに次のコマンドを設定できます


bull add rewrite action set_pback_cookie insert_http_header rdquoCookierdquorsquordquoPBack=0rdquorsquo


bull set rewrite policy set_pback_cookie -action set_pback_cookie



ワンタイムパスワードの使の設定

April 9 2020

トークン暗証番号（PIN）やパスコードなどのワンタイムパスワードを使するように Citrix Gatewayを構成できますユーザーがパスコードまたは PINをすると認証サーバーはただちにワンタイムパスワードを無効にしユーザーは同じ PINまたはパスワードを再できません

ワンタイムパスワードを使する製品には次のものがあります

bull RSA SecurIDbull Imprivata OneSignbull SafeWordbull Gemalto Protivabull Nordic SMS PASSCODE

これらの各製品を使するには内部ネットワークの認証サーバを RADIUSを使するように設定します詳しくは「RADIUS認証の構成」を参照してください

たとえばRSA SecurIDトークンによって提供される RADIUSでワンタイムパスワードを使するように CitrixGateway atewayで認証を構成するとCitrix Gatewayはキャッシュされたパスワードを使してユーザーの再認証を試みますこの再認証はCitrix Gatewayに変更を加えた場合または Citrix Gatewayプラグインと CitrixGatewayの間の接続が中断されてから復元された場合に発します


Citrix Gateway 130

Citrix Workspace アプリを使するように接続を構成しユーザーが RADIUS または LDAP を使して WebInterfaceに接続する場合にも再認証が試されますユーザーがアプリケーションを起動してアプリケーションを使しReceiverに戻って別のアプリケーションを起動するとCitrix Gatewayはキャッシュされた情報を使してユーザーを認証します


RSAセキュリティ ID認証の設定

April 9 2020

RSAACEサーバを RSA SecureID認証に構成する場合は次の順を実する必要があります

次の情報を使して RADIUSクライアントを設定します

bull Citrix Gatewayアプライアンスの名前をしますbull 説明をします (必須ではありません)bull システムの IPアドレスを指定しますbull Citrix Gatewayと RADIUSサーバー間の共有シークレットを指定しますbull メーカーモデルを標準 RADIUSとして設定します

エージェントホスト構成では次の情報が必要です

bull Citrix Gatewayの完全修飾ドメイン名（FQDN）を指定します（仮想サーバーにバインドされた証明書に表されます）FQDNを指定した後Tabキーをクリックすると[ネットワークアドレス]ウィンドウが動的に表されます

FQDNをするとネットワークアドレスが動的に表されます表されない場合はシステムの IPアドレスをします

bull コミュニケーションサーバを使してエージェントタイプを指定します

bull すべてのユーザーまたは Citrix Gateway経由の認証を許可されたユーザーのセットをインポートするように構成します

RADIUSサーバのエージェントホストエントリをまだ設定していない場合は次の情報を含めて作成します

bull RSAサーバの FQDNを指定します

FQDNをするとネットワークアドレスが動的に表されますそうでない場合はRSAサーバの IPアドレスをします

bull エージェントタイプ（RADIUSサーバ）を指定します

RSA RADIUSサーバの構成の詳細については製造元のマニュアルを参照してください


Citrix Gateway 130

RSA SecurIDを構成するには認証プロファイルとポリシーを作成しポリシーをグローバルにバインドするか仮想サーバにバインドしますRSA SecurIDを使するための RADIUSポリシーを作成するにはRADIUS認証の構成を参照してください

認証ポリシーを作成したら仮想サーバーまたはグローバルにバインドします詳しくは「認証ポリシーのバインド」を参照してください


RADIUSを使したパスワードリターンの設定

March 26 2020

ドメインパスワードはトークンが RADIUSサーバから成したワンタイムパスワードに置き換えることができますユーザーが Citrix Gatewayにログオンするとトークンから個識別番号（PIN）とパスコードをしますCitrix Gatewayが認証情報を検証するとRADIUSサーバーはユーザーのWindowsパスワードを CitrixGatewayに返しますCitrix Gatewayはサーバーからの応答を受けれログオン中にユーザーがしたパスコードを使する代わりに返されたパスワードを使してシングルサインオンしますRADIUSによるこのパスワード返却機能を使するとユーザーがWindowsパスワードを呼び戻す必要なくシングルサインオンを構成できます

ユーザーがパスワードリターンを使してログオンするとCitrix Endpoint ManagementStoreFrontWebInterfaceなど内部ネットワークで許可されているすべてのネットワークリソースにアクセスできます

返されたパスワードを使してシングルサインオンを有効にするにはCitrix Gatewayで「パスワードベンダー識別」および「パスワード属性の種類」パラメーターを使してRADIUS認証ポリシーを構成しますこれらの 2つのパラメータはユーザーのWindowsパスワードを Citrix Gatewayに返します

Citrix GatewayはImprivataワンサインをサポートしています Imprivata OneSignの最低限必要なバージョンはサービスパック 3で 40ですImprivata OneSignの既定のパスワードベンダーの識別は 398ですImprivata OneSignの既定のパスワード属性の種類のコードは 5です

RSACiscoMicrosoftなど他の RADIUSサーバを使してパスワードを返すことができますベンダー固有のアトリビュート値のペアでユーザシングルサインオンパスワードを返すように RADIUSサーバを設定する必要がありますCitrix Gateway認証ポリシーではこれらのサーバーの「パスワードベンダー識別」および「パスワード属性の種類」パラメーターを追加する必要があります

ベンダー IDの完全なリストはインターネット割り当て番号局 (IANA)のウェブサイトを参照してくださいたとえばRSAセキュリティのベンダー識別は 2197Microsoftの場合は 311Cisco Systemsの場合は 9ですベンダーがサポートするベンダー固有の属性はベンダーに確認する必要がありますたとえばMicrosoftではベンダー固有の属性の覧をMicrosoftのベンダー固有の RADIUSアトリビュートに公開しています


Citrix Gateway 130

ベンダー固有の属性を選択してベンダーの RADIUSサーバ上のユーザーのシングルサインオンパスワードを格納できますRADIUSサーバー上にユーザーパスワードが保存されているベンダー識別と属性を使してCitrix Gatewayを構成するとRADIUSサーバーに送信されるアクセス要求パケット内の属性の値が要求されますRADIUSサーバが access-acceptパケット内の対応するアトリビュートと値のペアで応答した場合使するRADIUSサーバに関係なくパスワードのリターンが機能します

返されたパスワードを使してシングルサインオンを構成するには次の順に従います

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションペインで[RADIUS]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にサーバーの名前をします7 RADIUSサーバの設定を構成します8 [パスワードベンダー識別]にRADIUSサーバーによって返されるベンダー識別をしますこの識別の最値は 1である必要があります

9 [パスワード属性の種類]でベンダー固有の AVPコードに RADIUSサーバから返される属性の種類をします値の範囲は 1〜 255です



Configuring SafeWord Authentication

March 26 2020

SafeWord製品ラインはトークンベースのパスコードを使して安全な認証を提供するのに役ちますユーザーがパスコードをするとSafeWordによって即座に無効になり再度使できなくなります

Secure Gateway Gateway および Web Interface 展開で Secure Gateway を置き換える場合はAccessGatewayで認証を構成せずWeb Interfaceで受信 HTTPトラフィックに対して SafeWord認証を提供し続けることができます

Access Gatewayは次の製品の SafeWord認証をサポートしています

bull SafeWord 2008bull SafeWord PremierAccessbull SafeWord for Citrixbull SafeWord RemoteAccess


Citrix Gateway 130

SafeWord製品を使して認証するように Access Gatewayを構成するには次の法があります

bull SafeWord PremierAccessの部としてインストールされている RADIUSサーバーを使するように認証を設定し認証を処理できるようにします

bull セーフワードリモートアクセスCitrixセーフワードおよびプレミアアクセス 40のコンポーネントであるセーフワード IASエージェントを使するように認証を構成します

bull Citrix Web Interfaceを使するにはSafeWord Web Interfaceエージェントをインストールします認証は Access Gateway上で構成する必要はなくCitrix Web Interfaceで処理できますこの構成ではプレミアアクセス RADIUSサーバーまたはセーフワード IASエージェントは使されません

SafeWord RADIUSサーバを設定する場合は次の情報が必要です

bull Access Gatewayの IPアドレスRADIUSサーバーでクライアント設定を構成する場合はAccess Gatewayの IPアドレスを使します

bull 共有シークレットbull SafeWordサーバーの IPアドレスとポート


Gemalto Protiva認証の設定

March 26 2020

Protivaは Gemaltoのスマートカード認証の強みを利するために開発された強な認証プラットフォームですProtivaではユーザーは Protivaデバイスによって成されたユーザー名パスワードワンタイムパスワードでログオンしますRSA SecurIDと同様に認証要求は Protiva認証サーバーに送信されパスワードは検証または拒否されます

Gemalto Protivaを Citrix Gatewayと連携するように構成するには以下のガイドラインに従ってください

bull Protivaサーバーをインストールしますbull Microsoft IAS RADIUSサーバーに Protivaインターネット認証サーバー (IAS)エージェントプラグインをインストールしますIASサーバーの IPアドレスとポート番号を書き留めておいてください


Gateway認証の nFactor

March 26 2020


Citrix Gateway 130

はじめに

nFactor認証は認証に関するまったく新しい可能性セットを可能にしますnFactorを使する管理者は仮想サーバーの認証要素を構成するときに認証承認および監査の柔軟性を享受できます

2つのポリシーバンクまたは 2つの要因によって管理者が制限されなくなりました政策銀の数はさまざまなニーズに合わせて拡張することができます前述の要因に基づいてnFactorは認証法を決定します動的ログインフォームと失敗時のアクションはnFactorを使して可能です

注 nFactorはCitrix ADCスタンダードエディションではサポートされていませんこれはCitrix ADCアドバンストエディションと Citrix ADCプレミアムエディションでサポートされています

ユースケース

nFactor認証はユーザプロファイルに基づくダイナミック認証フローを有効にします場合によってはこれらはユーザーにとって直感的な単純なフローになることがありますそれ以外の場合はアクティブディレクトリやその他の認証サーバーのセキュリティ保護と組み合わせることができますGatewayに固有の要件をいくつか次にします

1 動的なユーザ名とパスワードの選択従来Citrixクライアント（ブラウザと Receiverを含む）では最初のパスワードフィールドとしてアクティブディレクトリ（AD）パスワードが使されていました2番のパスワードはワンタイムパスワード (OTP)に予約されていますただしADサーバーを保護するにはOTPを最初に検証する必要がありますnFactorはクライアントの変更を必要とせずにこれをうことができます

2 マルチテナント認証エンドポイント組織によっては証明書ユーザーおよび証明書以外のユーザーに対して異なる Gatewayサーバーを使しますユーザーが分のデバイスを使してログインする場合ユーザーのアクセスレベルは使するデバイスに応じて Citrix ADCによって異なりますGatewayはさまざまな認証ニーズに対応できます

3 グループメンバーシップに基づく認証部の組織では認証要件を決定するために ADサーバーからユーザープロパティを取得します認証要件はユーザーごとに変更することができます

4 認証のコファクタです場合によっては異なるユーザーセットを認証するために異なる認証ポリシーのペアが使されることがありますペアポリシーを指定すると有効な認証が向上します依存ポリシーは1つのフローから作成できますこのようにして独した連のポリシーが独のフローになり効率性が向上し複雑さが軽減されます

認証応答の処理

Citrix Gatewayのコールバック登録は認証応答を処理しますAAAD（認証デーモン）応答と成功失敗エラーダイアログコードはコールバックハンドルに送られます成功失敗エラーダイアログコードはGatewayが適切なアクションを実するように指します


Citrix Gateway 130

クライアントのサポート

次の表に構成の詳細をします

クライアント nFactorサポート認証ポリシーのバインドポイント EPA

Webブラウザーはい認証はい

Citrix Workspaceアプリ

いいえ VPN times

Gatewayプラグインいいえ VPN はい

コマンドライン設定

Gateway仮想サーバには属性として指定された認証仮想サーバが必要ですこれはこのモデルに必要な唯の構成です

1 add authnProfile ltname-of-profilegt -authnVsName ltname-of-auth-vservergt

authnVsNameは認証仮想サーバーの名前ですこの仮想サーバーは度な認証ポリシーで構成する必要がありnFactor認証に使されます

1 add vpn vserver ltnamegt ltserviceTypegt ltIPgt ltPORTgt -authnProfile ltname-of-profilegt

2 set vpn vserver ltnamegt -authnProfile ltname-of-profilegt

ここでauthnProfileは以前に作成された認証プロファイルです

相互運に関する課題

レガシー GatewayクライアントのほとんどはrfWebクライアントに加えてGatewayから送信された応答に基づいてモデル化されていますたとえばvpnindexhtmlに対する 302応答は多くのクライアントで期待されますまたこれらのクライアントは「pwcount」「NSC_CERT」などのさまざまな Gatewayクッキーに依存しています

エンドポイント分析（EPA）

認証認可および監査サブシステムは nFactorの EPAをサポートしていないためGateway仮想サーバが EPAを実しますEPAの後ログイン資格情報は前述の APIを使して認証仮想サーバーに送信されます認証が完了するとGatewayは認証後のプロセスを続しユーザセッションを確します


Citrix Gateway 130

設定ミスに関する考慮事項

Gatewayクライアントはユーザーの資格情報を度だけ送信しますGatewayはログイン要求とともにクライアントから 1つまたは 2つのクレデンシャルを取得しますレガシーモードでは最 2つの要素があります取得したパスワードはこれらの要因に使されますただしnFactorでは構成できるファクタの数は実質的に無制限ですGatewayクライアントから取得したパスワードは設定された要素に対して（設定に従って）再利されますワンタイムパスワード (OTP)を複数回再利しないように注意する必要があります同様に管理者はある要素で再利されたパスワードが実際にその要素に適可能であることを確認する必要があります

Citrixクライアントの定義

この構成オプションはCitrix ADCがブラウザクライアントと Receiverなどのシッククライアントを判断する際に役ちます

管理者はパターンセット ns_vpn_client_userAgentsが提供されすべての Citrixクライアントのパターンを構成できます

同様に「Citrix Receiver」字列を上記のパッチセットにバインドしてユーザーエージェントに「Citrix Receiver」を持つすべての Citrixクライアントを無視します

Gatewayの nFactorの制限

次の条件が存在する場合Gateway認証の nFactorは発しません

1 認証プロファイルはCitrix Gatewayで設定されていません

2 度な認証ポリシーは認証仮想サーバーにバインドされず同じ認証仮想サーバーが authnProfileに記載されています

3 HTTPリクエスト内のユーザーエージェント字列はパッチセット ns_vpn_client_useragentsで構成されたユーザーエージェントと致します

これらの条件が満たされない場合Gatewayにバインドされた従来の認証ポリシーが使されます

ユーザーエージェントまたはその部が前述のパッチセットにバインドされている場合それらのユーザーエージェントからのリクエストは nFactorフローに参加しませんたとえば以下のコマンドはすべてのブラウザの設定を制限します（すべてのブラウザがユーザーエージェント字列に「Mozilla」が含まれていると仮定します）

bind patset ns_vpn_client_useragents Mozilla

LoginSchema

LoginSchema はログオンフォームを論理的に表現したものですXML 語によって定義されていますloginSchemaの構はCitrixの共通フォームプロトコル仕様に準拠しています


Citrix Gateway 130

LoginSchemaは製品の「ビュー」を定義します管理者はフォームのカスタマイズした説明補助テキストなどを提供できますこれにはフォーム体のラベルが含まれますお客様は特定の時点で提されたフォームを説明する成功失敗メッセージを提供できます

ログインスキーマと nFactorの知識が必要です

事前に構築されたログインスキーマファイルは以下のCitrix ADCの場所nsconfignsconfigloginschemaLoginSchemaにありますこれらの事前構築された loginSchemaファイルは般的なユースケースに対応し必要に応じて若のバリエーションに合わせて変更できます

またカスタマイズが少ないほとんどの単要素ユースケースではloginSchema (s)設定は必要ありません

管理者はCitrix ADCが要因を検出できるようにする追加の構成オプションについてドキュメントを確認することをお勧めしますユーザーがクレデンシャルを送信すると管理者は複数のファクタを構成して認証ファクタを柔軟に選択して処理できます

LoginSchemaを使しない要素認証の設定

Citrix ADCは構成に基づいて重要素要件を動的に決定しますユーザーがこれらの資格情報を提すると管理者は仮想サーバーでポリシーの最初のセットを構成できます各ポリシーに対して「nextFactor」を「パススルー」として構成できます「パススルー」とはCitrix ADCが既存の資格情報を使してログオンを処理する必要があることを意味します「パススルー」要素を使することで管理者はプログラムで認証フローを駆動できます詳細についてはnFactor仕様または導ガイドを参照することをお勧めします「多要素 (nFactor)認証」を参照してください

ユーザー名のパスワードの式

ログイン資格情報を処理するには管理者は loginSchema を設定する必要がありますloginSchema のカスタマイズが少ない単ファクタまたは重ファクタの使例では指定された XML 定義は必要ありませんLoginSchemaにはユーザーが提するユーザー名パスワードを変更するために使することができこのような userExpressionと passwdExpressionなどの他のプロパティがありますこれらは度なポリシー式でありユーザーを上書きするために使することもできます

nFactor構成におけるレベルの順

次の図はnFactor構成に関連するレベルの順をしています

GUIの設定

ここでは次のトピックについて説明します


Citrix Gateway 130

bull 仮想サーバーの作成

bull 認証仮想サーバーの作成

bull 認証 CERTプロファイルの作成

bull 認証ポリシーの作成

bull LDAP認証サーバーの追加

bull LDAP認証ポリシーの追加

bull Radius認証サーバーを追加する

bull Radius認証ポリシーの追加

bull 認証ログインスキーマの作成

bull ポリシーラベルの作成


1 Citrix Gateway-gt仮想サーバーに移動します

2 [追加]ボタンをクリックして負荷分散仮想サーバーを作成します

3 次の情報をします

パラメーター名パラメータの説明

仮想サーバの名前をします Citrix Gateway仮想サーバーの名前ASCIIアルファベットまたはアンダースコア (_)字で始まりASCII英数字アンダースコアハッシュ ()ピリオド ()スペースコロン ()アットマーク ()等しい (=)およびハイフン (-)字のみを含める必要があります仮想サーバの作成後に変更できます次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます（「my server」や「my server」など）

仮想サーバの IPアドレスタイプをしますドロップダウンメニューから [IPアドレス]または [アドレス指定不可]オプションを選択します

仮想サーバの IPアドレスをしますインターネットプロトコルアドレス (IPアドレス)は通信にインターネットプロトコルを使するコンピュータネットワークに参加している各デバイスに割り当てられる数値ラベルです


Citrix Gateway 130


仮想サーバのポート番号をしますポート番号をします

認証プロファイルをします仮想サーバー上の認証プロファイルエンティティこのエンティティを使して多要素（nFactor）認証のための認証承認および監査仮想サーバーに認証をオフロードできます

RDPサーバープロファイルをします仮想サーバーに関連付けられている RDPサーバープロファイルの名前

「最ユーザー数」をしますこの仮想サーバで許可される同時ユーザーセッションの最数この仮想サーバーにログオンできる実際のユーザー数はユーザーライセンスの合計数によって異なります

最ログイン試回数をしますログオンの最試回数

ログイン失敗タイムアウトをしますユーザーが最許容試回数を超えた場合にアカウントがロックされる時間（分）

Windows EPAプラグインのアップグレードをします

Winのプラグインのアップグレード動作を設定するオプション

Linux EPAプラグインのアップグレードにります Linuxのプラグインのアップグレード動作を設定するオプション

MAC EPAプラグインのアップグレードにる Macのプラグインのアップグレード動作を設定するオプション

1回ログインこのオプションはこの仮想サーバーのシームレスなSSOを有効無効にします


Citrix Gateway 130


ICAのみ ONに設定するとユーザーが Citrix Workspaceアプリまたはブラウザーを使してログオンしWihomeパラメーターで指定された Citrix VirtualApps and Desktops環境で構成された公開アプリにアクセスできる基本モードを意味しますユーザーは Citrix Gatewayプラグインを使して接続できずエンドポイントスキャンを構成できませんログインしてアプリにアクセスできるユーザーの数はこのモードでのライセンスによって制限されません-OFFに設定するとユーザーが Citrix Workspaceアプリブラウザーまたは Citrix Gatewayプラグインを使してログオンできる SmartAccessモードを意味します管理者はエンドポイントスキャンをクライアントシステムで実するように設定しその結果を使して公開アプリケーションへのアクセスを制御できますこのモードではクライアントは他のクライアントモード（VPNおよび CVPN）で Gatewayに接続できますログインしてリソースにアクセスできるユーザの数はこのモードの CCUライセンスによって制限されます

認証の有効化 Citrix Gatewayに接続するユーザーの認証を要求します

ダブルホップ Citrix Gatewayアプライアンスをダブルホップ構成で使しますダブルホップ展開では3つのファイアウォールを使して DMZを 2つのステージに分割することにより内部ネットワークのセキュリティをさらに強化できますこのような展開ではDMZに 1つのアプライアンスセキュアネットワークに 1つのアプライアンスを持つことができます


Citrix Gateway 130


ダウン状態フラッシュ仮想サーバーが [DOWN]とマークされている場合は既存の接続を閉じますこれはサーバーがタイムアウトした可能性があることを意味します既存の接続を切断するとリソースが解放され場合によっては負荷分散セットアップの回復が速化されます[DOWN]とマークされている場合接続を安全に閉じることができるサーバーではこの設定を有効にしますトランザクションを完了する必要があるサーバーではDOWN状態フラッシュを有効にしないでください

DTLS このオプションは仮想サーバー上のターンサービスを開始停します

AppFlowログ標準の NetFlowまたは IPFIX情報（フローの開始と終了のタイムスタンプパケットカウントバイトカウントなど）を含む AppFlowレコードをログに記録しますまたHTTP WebアドレスHTTP要求メソッドと応答ステータスコードサーバーの応答時間待機時間などアプリケーションレベルの情報を含むレコードもログに記録します

ICAプロキシセッションの移このオプションはユーザーが別のデバイスからログオンしたときに既存の ICAプロキシセッションを転送するかどうかを決定します

状態仮想サーバーの現在の状態 (UPDOWNBUSYなど)

デバイス証明書の有効化 EPAの部としてデバイス証明書チェックがオンかオフかをします

4 ページの「サーバー証明書なし」セクションを選択します

5 [gt]をクリックしてサーバー証明書を選択します

6 SSL証明書を選択し[選択]ボタンをクリックします

7［バインド］をクリックします

8「使可能な暗号がありません」という警告が表された場合は[ OK]をクリックします

9 [続]ボタンをクリックします

10 [認証]セクションで右上の [ + ]アイコンをクリックします


Citrix Gateway 130

認証仮想サーバーの作成

1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-[仮想サーバー]に移動します

2［追加］をクリックします

3 認証仮想サーバーを作成するには次の基本設定をいます

注意必須フィールドは設定名の右側にでされます

a)新しい認証仮想サーバの名前をします

b) IPアドレスのタイプをします[IPアドレスの種類]は[アドレス指定不可]として構成できます

c) IPアドレスをしますIPアドレスはゼロにできます

d)認証仮想サーバのプロトコルの種類をします

e)仮想サーバが接続を受けれる TCPポートをします

f)認証仮想サーバによって設定された認証クッキーのドメインをします


5 [サーバー証明書なし]をクリックします

6 リストから的のサーバー証明書を選択します

7 的の SSL証明書を選択し[ Select ]ボタンをクリックします

注認証仮想サーバーにはバインドされた証明書は必要ありません

8 サーバー証明書のバインドを設定します

bull SNI処理に使される証明書キーをバインドするには[SNIのサーバ証明書]チェックボックスをオンにします

bull [バインド]ボタンをクリックします

認証 CERTプロファイルの作成

1 セキュリティ-gtCitrix ADCAAA-アプリケーショントラフィック-gtポリシー-gt認証-gt基本ポリシー-gtCERTに移動します

2 [プロファイル]タブを選択し[追加]を選択します

3 次のフィールドにして認証 CERTプロファイルを作成します必須フィールドは設定名の右側にでされます

bull Nameクライアント証明書認証サーバプロファイルの名前（アクション）

bull 2要素mdashこの例では2要素認証オプションは NOOPです


Citrix Gateway 130

bull「ユーザー名フィールド」mdashユーザー名を抽出するクライアント証明書フィールドをします「件名」または「発者」のいずれかに設定する必要があります (両の重引符を含む)

bull グループ名フィールド -グループを抽出するクライアント証明書フィールドをします「件名」または「発者」のいずれかに設定する必要があります (両の重引符を含む)

bull デフォルトの認証グループ -抽出されたグループに加えて認証が成功したときに選択されるデフォルトのグループです

4［作成］をクリックします

認証ポリシーの作成

1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーに移動します

2 [追加]ボタンを選択します

3 認証ポリシーを作成するには次の情報をします必須フィールドは設定名の右側にでされます

a)「名前」mdashアドバンス認証ポリシーの名前をします字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみを含める必要があります認証ポリシーの作成後は変更できません

次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます（「認証ポリシー」や「認証ポリシー」など）

b)アクションタイプ -認証アクションのタイプをします

c) Action -ポリシーが致した場合に実する認証アクションの名前をします

d) [Log Action ]-要求がこのポリシーに致するときに使するメッセージログアクションの名前をします

e)「式」-Citrix ADCの名前付き規則の名前またはデフォルトの構式をしますこの規則は認証サーバーでユーザーを認証するかどうかをポリシーが決定します

f)「コメント」mdashこのポリシーに関する情報を保持するコメントをします

4 [作成]をクリックします

LDAP認証サーバの追加

1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-gt [ポリシー]-gt [認証]-gt [基本ポリシー]-gt [LDAP]に移動します

2 LDAPサーバを追加するには[サーバ]タブを選択し[追加]ボタンを選択します


Citrix Gateway 130

LDAP認証ポリシーの追加


2 [追加]をクリックして認証ポリシーを追加します


a)名前 -事前認証ポリシーの名前字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみを含める必要があります認証ポリシーの作成後は変更できません


b)アクションタイプ -認証アクションのタイプ

c) Action -ポリシーが致した場合に実される認証アクションの名前

d) Log Action -要求がこのポリシーに致するときに使するメッセージログアクションの名前

e) Expression -Citrix ADCの名前付きルールの名前またはデフォルトの構式認証サーバーを使してユーザーを認証するかどうかをポリシーが判断します

f)コメント -このポリシーに関する情報を保持するためのコメント


RADIUS認証サーバの追加

1 [セキュリティ]-gt [Citrix ADC AAA]-gt [アプリケーショントラフィック]-gt [ポリシー]-gt [認証]-gt [基本ポリシー]-gt [RADIUS]に移動します

2 サーバを追加するには[サーバ]タブを選択し[追加]ボタンを選択します

3 認証 RADIUSサーバを作成するには次のようにします必須フィールドは設定名の右側にでされます

a) RADIUSアクションの名前をします

b) RADIUSサーバに割り当てられているサーバ名またはサーバの IPアドレスをします

c) RADIUSサーバが接続をリッスンするポート番号をします

d)タイムアウト値を数秒でしますこれはCitrix ADCアプライアンスが RADIUSサーバーからの応答を待機する値です

e) RADIUSサーバーと Citrix ADCアプライアンスの間で共有される秘密キーをします秘密キーはCitrix ADCアプライアンスが RADIUSサーバーと通信できるようにするために必要です


Citrix Gateway 130

f)シークレットキーを確認します


RADIUS認証ポリシーの追加


2 [追加]をクリックして認証ポリシーを作成します










5 認証ポリシーが表されていることを確認します

認証ログインスキーマの作成

1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-[ログインスキーマ]に移動します

2 [プロファイル]タブを選択し[追加]ボタンをクリックします

3 認証ログインスキーマを作成するには次のフィールドにします

a)「名前」をしますこれは新しいログインスキーマの名前です

b)認証スキーマをしますこれはログインページの UIに送信される認証スキーマを読み取るためのファイルの名前ですこのファイルにはログインフォームをレンダリングできるようにするための Citrixフォーム認証プロトコルごとの要素の xml定義が含まれている必要があります管理者がユーザーに追加の資格


Citrix Gateway 130

情報を要求せず以前に取得した資格情報を続する場合は引数として「noschema」を指定できますこれはユーザー定義のファクタで使される loginSchemasにのみ適され仮想サーバのファクタには適されません

c）ユーザー式をしますこれはログイン中にユーザー名を抽出するための式です

d）パスワード式をする-これはログイン時のパスワード抽出の式です

e）ユーザークレデンシャルインデックスをしますこれはユーザーがしたユーザー名がセッションに格納されるインデックスです

f)パスワードクレデンシャルインデックスをしますこれはユーザーがしたパスワードがセッションに格納されるインデックスです

g)認証強度をしますこれは現在の認証の重みです


a) ログインスキーマプロファイルが表されていることを確認します

ポリシーラベルの作成

ポリシーラベルは特定の要素の認証ポリシーを指定します各ポリシーラベルは1つの要素に対応しますポリシーラベルはユーザーに提する必要があるログインフォームを指定しますポリシーラベルは認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります通常ポリシーラベルには特定の認証メカニズムの認証ポリシーが含まれますただし異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使することもできます

1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーラベルに移動します


3 認証ポリシーラベルを作成するには次のフィールドにします

a)新しい認証ポリシーラベルの [Name]をします

b)認証ポリシーラベルに関連付けられたログインスキーマをします

c) [続]をクリックします

4 ドロップダウンメニューから [Policy ]を選択します

5 的の認証ポリシーを選択し[ Select ]ボタンをクリックします

6 次のフィールドにします

a)ポリシーバインディングの [ Priority ]をします

b)「Goto Expression」をしますこの式は現在のポリシールールが TRUEと評価された場合に評価される次のポリシーの優先順位を指定します


Citrix Gateway 130


8 [バインド]ボタンをクリックします


10 認証ポリシーラベルを確認します

nFactor認証の再キャプチャ設定

Citrix ADCリリース 121ビルド 50x以降ではCitrix Gatewayはキャプチャの構成を簡素化する新しいファーストクラスのアクション「captchaAction」をサポートしていますキャプチャはファーストクラスのアクションであるようにそれは独の要因であることができますnFactorフローのどこにでもキャプチャを挿できます

以前はRfWeb UIの変更を含むカスタムWebAuthポリシーを記述する必要がありましたキャプチャーアクションが導されたことでJavaScriptを変更する必要はありません

重要

Captchaがスキーマ内のユーザー名またはパスワードのフィールドと緒に使されている場合Captchaが満たされるまで送信ボタンは無効になります

キャプチャの構成

キャプチャの構成には2つの部分が含まれます

1 キャプチャを登録するための Googleの構成2 ログインフローの部としてキャプチャを使する Citrix ADCアプライアンスの構成

グーグルでキャプチャの設定

httpswwwgooglecomrecaptchaadminlistでキャプチャのドメインを登録します

1 このページに移動すると次の画が表されます

注

reCAPTCHA v2のみを使してくださいにえない reCAPTCHAはまだ技術プレビュー中です

2 ドメインを登録すると「サイトキー」と「秘密キー」が表されます

注

セキュリティ上の理由から「SiteKey」と「SecretKey」はグレー表になっています「SecretKey」は安全に保管する必要があります


Citrix Gateway 130

Citrix ADCアプライアンスでのキャプチャ構成

Citrix ADCアプライアンスのキャプチャ構成は次の 3つの部分に分けることができます

bull キャプチャ画を表するbull Googleサーバーにキャプチャ応答を投稿するbull LDAP構成はユーザーログオンの 2番の要素です (オプション)

キャプチャ画を表する

ログインフォームのカスタマイズはSingleAuthCaptchaxml ログインスキーマを介してわれますこのカスタマイズは認証仮想サーバーで指定されログインフォームをレンダリングするために UI に送信されます組み込みのログインスキーマである SingleAuthCaptchaxml はCitrix ADC アプライアンス上のnsconfigloginSchemaログインスキーマディレクトリにあります

重要

bull ユースケースと異なるスキーマに基づいて既存のスキーマを変更できますたとえばCaptcha係数（ユーザー名やパスワードなし）または Captchaとの重認証だけが必要な場合

bull カスタム変更を実した場合またはファイルの名前を変更した場合はすべての loginSchemaをnsconfigloginschemaディレクトリから親ディレクトリnsconfigloginschemaにコピーすることをお勧めします

CLIを使してキャプチャの表を設定するには

bull add authentication loginSchema singleauthcaptcha -authenticationSchemansconfigloginschemaSingleAuthCaptchaxml

bull add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

bull add authentication vserver auth SSL ltIPgt ltPortgtbull add ssl certkey vserver-cert -cert ltpath-to-cert-filegt -key ltpath-to-key-filegt

bull bind ssl vserver auth -certkey vserver-certbull bind authentication vserver auth -policy singleauthcaptcha -priority 5-gotoPriorityExpression END

Googleサーバーにキャプチャ応答を投稿する

あなたはユーザーに表されなければならないキャプチャを設定した後管理者はブラウザからのキャプチャ応答を確認するためにGoogleサーバーに構成を追加ポスト

ブラウザからキャプチャ応答を確認するには


Citrix Gateway 130

bull add authentication captchaAction myrecaptcha -sitekey ltsitekey-copied-from-googlegt -secretkey ltsecretkey-from-googlegt

bull add authentication policy myrecaptcha -rule true -action myrecaptchabull bind authentication vserver auth -policy myrecaptcha -priority 1

AD認証が必要な場合は次のコマンドが必要ですそれ以外の場合はこの順を無視できます

bull add authentication ldapAction ldap-new -serverIP xxxx -serverPort636 -ldapBase rdquocn=usersdc=aaatmdc=comrdquo-ldapBindDn adminuseraaatmcom-ldapBindDnPassword ltpasswordgt -encrypted -encryptmethod ENCMTHD_3 -

ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeNameCN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup

ldapGroupbull add authenticationpolicy ldap-new -rule true -action ldap-new

LDAP構成はユーザーログオンの 2番の要素です (オプション)

LDAP認証はキャプチャ後にわれ2番の要素に追加します

bull add authentication policylabel second-factorbull bind authentication policylabel second-factor -policy ldap-new -priority

10bull bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

管理者は負荷分散仮想サーバーと Citrix Gatewayアプライアンスのどちらを使してアクセスするかに応じて適切な仮想サーバーを追加する必要がありますロードバランシング仮想サーバが必要な場合は管理者が次のコマンドを設定する必要があります

1 add lb vserver lbtest HTTP ltIPgt ltPortgt -authentication ON -authenticationHost nsspaaatmcomlsquo

nsspaaatmcom mdash認証仮想サーバーに解決します

キャプチャのユーザー検証

前のセクションで説明したすべての順を設定したら以下にす UIのスクリーンショットを確認する必要があります

1 認証仮想サーバーがログインページを読み込むとログオン画が表されますログオンはキャプチャが完了するまで無効になります

2 [私はロボットではありません]オプションを選択しますキャプチャウィジェットが表されます

3 完了ページが表される前に連のキャプチャ画像をナビゲートします


Citrix Gateway 130

4 AD資格情報をし[ロボットではありません]チェックボックスをオンにして [ログオン]をクリックします認証が成功すると的のリソースにリダイレクトされます

注

bull キャプチャが AD認証で使されている場合キャプチャが完了するまで資格情報の送信ボタンは無効になります

bull キャプチャは独の要因で発しますしたがってADのような後続の検証は Captchaのlsquonextfactorrsquoで発する必要があります


Unified Gateway Visualizer

March 26 2020

概要

Unified Gateway VisualizerはUnified Gatewayウィザードを使して構成を視覚的に表現しますUnifiedGateway Visualizerは構成の追加と編集およびバックエンドの問題の診断に使されます

Unified Gateway Visualizerには次の情報が表されます|構成 |構成 ||mdash|ndash||事前認証ポリシー |認証ポリシー ||CS仮想サーバ |VPN仮想サーバー ||LB仮想サーバ |XAXDアプリケーション ||ウェブアプリケーション |SaaSアプリ |

Unified Gatewayの導によりエンタープライズアプリケーションまたは SaaSアプリケーションクライアントレスアクセスアプリケーションCitrix Virtual Appsおよびデスクトップリソースへの 1つの URLを介してセキュアなリモートアクセスが可能になります

Unified Gatewayの設定

1 メニューから [Unified Gateway]を選択します

2 次の画で次の情報があることを確認し[ Get Started]をクリックします

1 - Unified Gateway のパブリック IP アドレス


Citrix Gateway 130

2 - オプションのルート CA証明書を持つサーバー証明書チェーン（ PFXまたは PEM ）

3 - LDAPRADIUSクライアント証明書ベースの認証の詳細 4 - アプリケーションの詳細（ Saasアプリケーションまたは Citrix Virtual

Apps and Desktops サーバーの詳細の URL ）


Unified Gateway構成の仮想サーバを作成します

1 仮想サーバの構成名をします2 Unified Gateway配置のパブリック向の Unified Gateway IPアドレスをします3 ポート番号をしますポート番号の範囲は 1〜 65535です4［続］をクリックします

サーバー証明書を指定するには次の情報をします

1 [既存の証明書を使する]または [証明書のインストール]ラジオボタンを選択します2 ドロップダウンメニューからサーバー証明書を選択します3 [続]ボタンをクリックします

認証を指定するには次の情報をします

1 プルダウンメニューから [プライマリ認証法]を選択します2 [既存のサーバーを使する]または [新しいサーバーの追加]ラジオボタンを選択します3 [続]ボタンをクリックします

1 プルダウンメニューから「ポータルテーマ」を選択します2［続］をクリックします

1「Webアプリケーション」または「Citrix Virtual Appsデスクトップ」ラジオボタンを選択します2［続］をクリックします

Webアプリケーションを指定するには次の情報をします

1 ブックマークのリンクの名前をします

2 VPN URLが表すアプリケーションのタイプを選択します指定できる値は次のとおりです

bull イントラネットアプリケーションbull クライアントレスアクセスbull SaaSbull この Citrix ADC上で事前に構成されたアプリケーション

3 このチェックボックスをオンにするとこのアプリケーションに Unified Gateway URLからアクセスできるようになります

4 ブックマークリンクの URLをします

5 アイコン URLからアイコンファイルを取得するファイルを選択します最は 255です


Citrix Gateway 130



1［続］をクリックします


GUIの設定


1 [Unified Gatewayビジュアライザー]アイコンをクリックして構成済みの Gatewayインスタンスにアクセスします

Unified Gatewayのビジュアライザーは次の図のようになります

Unified Gatewayビジュアライザーには事前認証認証およびアプリのセクションがありますvpn仮想サーバに事前認証ポリシーが設定されている場合はUnified Gatewayビジュアライザに事前認証が表されます

Unified Gatewayビジュアライザーはロードバランシングと VPN仮想サーバーの状態をすために分けスキームを使します

彩の説明

サーバーがダウンしていることを意味します

グレー webappsCitrix Virtual Appsが設定されていないことを意味します

緑仮想サーバーですべてが問題ないことを意味します

オレンジ負荷分散仮想サーバーサービスの 1つを意味しますダウンしていますがそれでも正常に機能しています

VPN仮想サーバの詳細

vpn仮想サーバの詳細を取得するには[vpn仮想サーバ]ノードをクリックしますポップアップにはCSルールやすべてのポリシーなどの詳細が表されます

1（+）アイコンをクリックしてvpnエンティティにポリシーを追加します

デフォルトでは次のポリシーがバインドされています

1 構成済みのポリシーの詳細を表するには的のノードをクリックします

VPN仮想サーバー情報の場合ポップアップの VPNタイトルはVPN仮想サーバーの詳細をすスライダーに移動するクリック可能なエンティティです


Citrix Gateway 130

VPNサーバーの詳細をここにします

事前認証ブロック

vpn仮想サーバに事前認証ポリシーが関連付けられている場合Unified Gatewayビジュアライザには PreAuthブロックが表されます[Pre Auth]ブロックはポリシーを表し認証前ポリシーを vpnに追加するオプションを提供します

1 [ + ]をクリックして事前認証ポリシーを追加します

事前認証ポリシーが付けられていない場合このブロックはビューに表されません

認証ブロック

Authブロックにはプライマリポリシーとセカンダリポリシーが覧表されますAuthブロックにはポリシーを追加するためのオプションがあります

1 [プライマリ]ボックスの覧の [ + ]をクリックしてプライマリ認証バインドを追加するか[セカンダリ]ボックスの覧の [+]をクリックしてセカンダリ認証バインドを追加します

1 [プライマリ認証法]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです2 ラジオボタンを選択して既存のサーバーを使するか新しいサーバーを追加するかを指定します3 [ LDAPポリシー名]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです4 [セカンダリ認証法]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです

1 ラジオボタンを選択して既存のサーバーを使するか新しいサーバーを追加するかを指定します2 [ RADIUS ]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです3［続］をクリックします

StoreFrontの追加

XAXDの近くにある [ + ]をクリックすると「XAXD」アプリが追加されます

統合ポイントを選択できますオプションはStoreFrontWIまたはWionNSです［続］をクリックします

1 StoreFrontを構成するには以下のフィールドにします

|フィールド |説明 ||ndash|mdash||StoreFront FQDN|StoreFrontサーバーの FQDNをします最255字例storefrontxendtnet||サイトパス |StoreFrontで既に構成されている Receiver for Webサイトへのパスをします||シングルサインオンドメイン |ユーザー認証のデフォルトドメインをしてください ||ストア名 |STOREFRONTモニタの名前をしますSTORENAMEはStoreFrontサーバーの正常性を調べるために StoreFrontサービスストア名を定義する引数で


Citrix Gateway 130

すストオーフロントモニターに適できます最31| |Secure Ticket Authorityサーバー |Secure Ticket Authority URLをしますこれは通常配信 Controller上に存在します例httpsta||StoreFrontサーバー |StoreFrontサーバーの IPアドレスを ||プロトコル |サーバーで使されるプロトコルをします||ポート |サーバーが使するポートをします||負荷分散 |StoreFrontサーバーの負荷分散構成をします||仮想サーバー | Unified Gateway展開のパブリック IPアドレスをします|

2 [続]をクリックします

SaaSの追加

1 [ + ]をクリックして SaaSアプリを追加すると[SaaSの追加]ページに移動しますSaaSを設定するには次のフィールドにします必須の情報が必要なフィールドにはが付きます

フィールド説明

名前ブックマークのリンクの名前をします

アプリケーションの種類この VPN URLが表すアプリケーションのタイプをします可能な値は次のとおりですこの CitrixADC上のイントラネットアプリケーションクライアントレスアクセスSaaS事前構成されたアプリケーション

URLをイントラネットアプリケーションの URLをします

ファイルの選択このリソースを表するためのアイコンファイルを取得する URLをしてくださいMaxLength = 255

Webアプリケーションの追加

1 [ + ]をクリックしてWebアプリを追加すると[Webアプリの追加]ページに移動します次のフィールドにしてWebアプリケーションを構成します必須の情報が必要なフィールドにはが付きます




Citrix Gateway 130





Unified Gatewayの URLからアプリケーションにアクセスできる場合はアプリケーションをクリックしてロードバランシングサーバーの詳細にアクセスできます

（+）をクリックして新しいポリシーを追加できますポリシー情報を表するノードをクリックするとバインドされたすべてのポリシーを表できます

LBにバインドされたサービスの数と全体的な状態情報も表されますさらにクリックするとすべてのサービスが覧表されますLBに新しいサービスを追加できます

LBの詳細についてはポップアップのタイトルはクリック可能でLB仮想サーバーの詳細ページに表されます


モバイルタブレットデバイスで RADIUS認証と LDAP認証を使するように CitrixGatewayを構成する

March 26 2020

このセクションではモバイルタブレットデバイスで RADIUS認証をプライマリとして使しLDAP認証をセカンダリとして使するように Citrix Gatewayアプライアンスを構成する法について説明します

「」セクションで説明した設定では他のすべての接続で LDAP2番に RADIUSを使できます

モバイルタブレットデバイスで使するために Citrix Workspaceアプリで 2要素認証を構成する場合はプライマリ認証として RSA SecureID（RADIUS認証）を追加する必要がありますただしReceiverでユーザー名とパスワードパスコードのを求めるプロンプトが表されたらLDAPを最初に設定しRADIUSを 2番の資格情報として設定します管理者の観点からはモバイル構成と較してそれは別の構成です


Citrix Gateway 130

モバイルタブレットデバイスで RADIUS認証をプライマリとして使しLDAP認証をセカンダリとして使するように Citrix Gatewayアプライアンスを構成するには次の順を実します

1 構成ユーティリティでCitrix Gateway∕ポリシー∕認証を選択しモバイルデバイスおよびモバイルデバイスの LDAPおよび RSAの認証ポリシーを作成しますこれはユーザが RADIUS認証をバイパスできるロジック条件を回避するために必要です

2 LDAPの [サーバ]タブで [追加]オプションをクリックした後LDAPサーバの詳細をします

認証サーバーの構成法の詳細については「NetScalerで LDAP認証を構成する法」の「認証サーバーの作成」を参照してください

3 必要な LDAPサーバーを選択してモバイルデバイスの LDAPポリシーを作成します

このポリシーをモバイルデバイスのみにバインドするには次の式を使します

1 lsquoREQHTTPHEADER User-Agent CONTAINS CitrixReceiverlsquo

4 [式エディタ]をクリックしてポリシーを作成します

5 モバイルデバイスの RADIUSポリシーと RADIUSサーバを作成します

(a)［Citrix Gateway］gt［ポリシー］gt［認証］gt［RADIUS］から［RADIUS］オプションに移動します[サーバー]タブの [追加]をクリックします

(b)必要な情報を追加しますRADIUS認証のデフォルトポートは 1812です

(c)このポリシーをモバイルデバイスのみにバインドするには次の式を使します

6 同じ順に従ってモバイルデバイスの LDAPポリシーを作成しますこのポリシーをモバイル以外のデバイスにのみバインドするには次の式を使します

1 lsquoREQHTTPHEADER User-Agent NOTCONTAINS CitrixReceiverlsquo

7 モバイルデバイス以外の RADIUSポリシーを作成しますこのポリシーをモバイル以外のデバイスにのみバインドするには次の式を使します


8 Citrix Gateway仮想サーバーのプロパティに移動し「認証」タブをクリックしますプライマリ認証ポリシーでRSA_Mobileポリシーを最上位プライオリティとしてLDAP_NonMobileポリシーをセカンダリプライオリティとして追加します

9 セカンダリ認証ポリシーでLDAP_Mobile ポリシーを最上位プライオリティとして追加し次にRSA_NonMobileポリシーをセカンダリプライオリティとして追加します

セッションポリシーには正しい Single Sign-On資格情報インデックスが必要ですつまりLDAP資格情報である必要がありますモバイルデバイスの場合は[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [セカンダリ]に設定する必要がありますこれは


Citrix Gateway 130

LDAPです

したがって2つのセッションポリシーが必要です1つはモバイルデバイスもう 1つはモバイルデバイスです

（a）モバイルデバイスのセッションポリシーとセッションプロファイルは次のスクリーンショットにすようにえますセッションポリシーを作成するには必要な仮想サーバーに移動し「編集」をクリックしポリシーセクションに移動して「+」記号をクリックします

(b)ドロップダウンから [セッション]オプションを選択します

(c)的のセッションポリシー名をし[+]をクリックして新しいプロファイルを作成しますモバイルデバイスの場合は[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [セカンダリ]に設定する必要がありますこれは LDAPです

(d)モバイルデバイス以外の場合は同じ順に従ってください[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [プライマリ]に設定する必要がありますこれは LDAPです

式は次のように変更する必要があります


(e)モバイル以外のユーザーに新しいプロファイルを作成するには[+]記号をクリックします

1 必要な仮想サーバーのポリシーとプロファイルは次のスクリーンショットのようになります

2 さらにStoreFrontではCitrix Gateway構成で「ログオンの種類」=「ドメインとセキュリティトークン」を使するように設定されています


VPNユーザエクスペリエンスの設定

April 9 2020

ユーザーは以下の法を使してCitrix Gateway経由で組織のネットワークリソースに接続できます

bull ユーザーデバイスにインストールされているすべての Citrixプラグインを含む Citrix Workspaceアプリbull Webブラウザーを使してアプリケーションデスクトップShareFileへのユーザー接続を可能にする

Web Citrix Workspaceアプリbull Secure Hubを使するとユーザーは iOSおよび Androidデバイスから Secure MailWorxWebおよびモバイルアプリにアクセスできます

bull WindowsMac OS Xまたは Linuxの Citrix Gatewayプラグインbull iOSと Androidのための Citrix Gatewayアプリ


Citrix Gateway 130

bull Javaの Citrix Gatewayプラグインbull クライアントレスアクセスユーザーソフトウェアをインストールせずに必要なアクセスをユーザーに提供します

bull Citrix Repeaterプラグインとの相互運性

ユーザーが Citrix GatewayプラグインをインストールしてからCitrix XenApp 65からWindows Server 2008（機能パックと機能パック 2を含む）からCitrix WorkspaceアプリをインストールするとCitrix Virtual Desktops

70以降ではCitrix Workspaceアプリは動的に Citrix Gatewayプラグインを追加しますユーザーはWebブラウザーまたは Citrix Workspaceアプリから Citrix Gatewayプラグインを使して接続できます

SmartAccessはエンドポイント分析スキャンの結果に基づいてユーザーデバイスに許可されるアクセス法を動的に決定しますSmartAccessの詳細については「SmartAccess設定」を参照してください

Citrix GatewayはiOSおよび Androidモバイルデバイスの Citrix Endpoint Management Worxアプリをサポートしています Citrix Gatewayにはマイクロ VPNトンネルを確する iOSモバイルデバイスから CitrixGatewayへの接続を可能にする Secure Browseが含まれていますSecure Hubに接続する AndroidデバイスではMicro VPNトンネルが動的に確されWebおよびモバイルアプリケーションレベルのセキュアな内部ネットワーク内のリソースへのアクセスを提供しますユーザーがWorxアプリで Androidデバイスから接続する場合はCitrix Gatewayで DNS設定を構成する必要があります詳細については「Androidデバイスで DNSサフィックスを使した DNSクエリのサポート」を参照してください


Citrix Gatewayプラグインでのユーザー接続のしくみ

April 9 2020

Citrix Gatewayは次のように動作します

bull ユーザーが VPNトンネルを介してネットワークリソースにアクセスしようとするとCitrix Gatewayプラグインは組織の内部ネットワーク宛てのネットワークトラフィックをすべて暗号化しパケットを CitrixGatewayに転送します

bull Citrix Gatewayは SSLトンネルを終了しプライベートネットワーク宛ての着信トラフィックを受けれトラフィックをプライベートネットワークに転送しますCitrix Gatewayは安全なトンネルを介してリモートコンピュータにトラフィックを送信します

ユーザーがWebアドレスをすると資格情報のとログオンをうログオンページが表されます資格情報が正しい場合Citrix Gatewayはユーザーデバイスとのハンドシェイクを終了します

ユーザーと Access Gatewayの間にプロキシサーバーがある場合はプロキシサーバーと認証のための資格情報を指定できます詳しくは「ユーザ接続のプロキシサポートの有効化」を参照してください


Citrix Gateway 130

Citrix Gatewayプラグインがユーザーデバイスにインストールされます最初の接続後ユーザーがWindowsベースのコンピューターを使してログオンすると通知領域のアイコンを使して接続を確できます


セキュアトンネルの確

March 26 2020

ユーザーが Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに接続するとクライアントソフトウェアはポート 443（または Citrix Gateway上の構成済みポート）を介してセキュアなトンネルを確し認証情報を送信しますトンネルが確されるとCitrix Gatewayは Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに構成情報を送信しますアドレスプールを有効にするとセキュリティ保護対象のネットワークと IPアドレスが記述されます

セキュアな接続を介したプライベートネットワークトラフィックのトンネリング

Citrix Gatewayプラグインが起動しユーザーが認証されると指定されたプライベートネットワーク宛てのネットワークトラフィックがすべてキャプチャされセキュアなトンネルを介して Citrix GatewayにリダイレクトされますCitrix Workspaceアプリが Citrix Gatewayプラグインをサポートしユーザーがログオンしたときにセキュアなトンネルを介して接続を確する必要があります

Secure HubSecure MailおよびWorxWebはマイクロ VPNを使してiOSおよび Androidモバイルデバイスのセキュアなトンネルを確します

Citrix Gatewayはユーザーデバイスが接続するすべてのネットワーク接続を受信しSecure Sockets Layer（SSL）を介して Citrix Gatewayに多重化しますこの場合トラフィックは逆多重化され接続は正しいホストとポートの組み合わせに転送されます

接続は単のアプリケーションアプリケーションのサブセットまたはイントラネット全体に適される管理セキュリティポリシーに従いますリモートユーザが VPN接続を介してアクセスできるリソース（IPアドレスとサブネットペアの範囲）を指定します

Citrix Gatewayプラグインは定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします

bull TCP（すべてのポート）bull UDP（すべてのポート）bull ICMP（タイプ 8および 0-エコー要求応答）

ユーザーデバイス上のローカルアプリケーションからの接続はCitrix Gatewayに安全にトンネリングされターゲットサーバーへの接続が再確されますターゲットサーバーではプライベートネットワーク上のローカル


Citrix Gateway 130

Citrix Gatewayからの接続として認識されるためユーザーデバイスは表になりますこれは逆向ネットワークアドレス変換 (NAT)とも呼ばれますIPアドレスを表にすると送信元ロケーションにセキュリティが追加されます

ローカルではユーザーデバイス上でSYN-ACKPUSHACKFINパケットなどの接続関連トラフィックはすべてCitrix Gatewayプラグインによって再作成されプライベートサーバーから表されます


ファイアウォールとプロキシを介した操作

March 26 2020

Citrix Gatewayプラグインのユーザーは次の図にすように別の組織のファイアウォール内に配置されることがあります

図 12つの内部ファイアウォールを介したユーザーデバイスからの接続

NATファイアウォールはCitrix Gatewayからユーザーデバイスにセキュアなパケットをルーティングできるテーブルを維持します回線指向接続の場合Citrix Gatewayはポートマップされたリバース NAT変換テーブルを維持します逆 NAT変換テーブルを使するとCitrix Gatewayは接続を照合しパケットを正しいポート番号でユーザーデバイスに返送しパケットを正しいアプリケーションに戻すことができます


Citrix Gatewayプラグインのアップグレード制御

March 26 2020

概要

システム管理者はCitrix ADCプラグインのバージョンが Citrix Gatewayのリビジョンと致しない場合の CitrixADCプラグインの動作を制御します新しいオプションはMacWindowsまたはオペレーティングシステムのプラグインのアップグレード動作を制御します

VPNプラグインの場合Citrix ADCユーザーインターフェイスの 2つの場所でアップグレードオプションを設定できます

bull グローバル設定で


Citrix Gateway 130

bull セッションプロファイルレベルで

プラグインの動作

Citrix Gatewayではクライアントの種類ごとに以下の 3つのオプションを使してプラグインのアップグレード動作を制御できます

a[常に表]

エンドユーザーのプラグインのバージョンが Citrix ADCに同梱されているプラグインと致しない場合プラグインは常にアップグレードされますこれはデフォルトの動作ですエンタープライズで複数のプラグインバージョンを実したくない場合はこのオプションを選択します

b エッセンシャル（およびセキュリティ）

プラグインが必要と判断された場合にのみアップグレードされました次の 2つの状況においてはアップグレードが必要と判断されます

bull インストールされているプラグインは現在の Citrix ADCバージョンと互換性がありません

bull インストールされたプラグインは必要なセキュリティ修正のために更新する必要があります

プラグインのアップグレード回数を最限に抑えるがプラグインのセキュリティ更新プログラムを逃したくない場合はこのオプションを選択する必要があります

c[なし]

プラグインはアップグレードされません

VPNプラグインのアップグレードを制御するための CLIパラメータ

Citrix GatewayはWindowsおよびMacオペレーティングシステムの 2種類のプラグイン（EPAと VPN）をサポートしていますセッションレベルで VPNプラグインのアップグレード制御をサポートするためにCitrixGatewayではWindowsinPluginUpgradeとMacPluginUpgradeという 2つのセッションプロファイルパラメーターがサポートされています

これらのパラメータはグローバル仮想サーバグループおよびユーザレベルで使できます各パラメータには常に必須または絶対に設定できますこれらのパラメータの詳細についてはプラグインの動作を参照してください

EPAプラグインのアップグレードを制御するための CLIパラメータ

Citrix GatewayはWindowsおよびMacオペレーティングシステムの EPAプラグインをサポートしています仮想サーバーレベルで EPAプラグインのアップグレード制御をサポートするためにCitrix Gatewayではウィン


Citrix Gateway 130

ドウ EPAプラグインアップグレードとmacEPAプラグインアップグレードという 2つの仮想サーバーパラメーターがサポートされています

パラメーターは仮想サーバーレベルで使できます各パラメータには常に必須または絶対に設定できますこれらのパラメーターの説明についてはプラグインの動作を参照してください

VPN構成

WindowsLinuxMacプラグインの VPN設定については以下の順に従ってください

1［Citrix NetScalergtポリシー］gt［セッション］の順に選択します

2 的のセッションポリシーを選択し[ Edit]をクリックします

3 [ + ]アイコンをクリックします

4 [クライアントエクスペリエンス]タブを選択します

5 これらのダイアログボックスのオプションはアップグレードの動作に影響します

bull 常に

bull 必須

bull なし

既定値は [常時]です

1 各オプションの右側にあるチェックボックスをオンにしますアップグレード動作を適する頻度を選択します

EPA構成

WindowsLinuxAppleプラグインの EPA構成については以下の順に従ってください

1 Citrix Gateway gt［仮想サーバー］の順に選択します

2 サーバを選択し[編集]ボタンをクリックします

3鉛筆アイコンをクリックします

4 [詳細]をクリックします

5 表されるダイアログボックスはアップグレードの動作に影響します使可能なオプションは次のとおりです

bull 常にbull 必須bull なし


Citrix Gateway 130

要件

bull Windowsの EPAおよび VPNプラグインのバージョンは 11000よりきくする必要があります

bull Mac EPAプラグインのバージョンは 30031よりきくなければなりません

bull Mac VPNプラグインのバージョンは 314 (357)よりきくなければなりません

注 Citrix ADCを 110リリースにアップグレードするとアップグレード制御の構成に関係なく以前のすべての VPN（および EPA）プラグインが最新バージョンにアップグレードされます以降のアップグレードでは上記のアップグレード制御設定を尊重します


Citrix Gatewayで完全な VPNセットアップを構成する

April 9 2020

このセクションではCitrix Gatewayアプライアンスで完全な VPNセットアップを構成する法について説明しますネットワークに関する考慮事項とネットワークの観点から問題を解決するための理想的なアプローチが含まれています

前提条件

bull SSL証明書これはインストールされVPN仮想サーバー（VServer）にバインドする必要があります

ndash CTX109260 - NetScalerアプライアンスでパブリック SSL証明書を成してインストールする法

ndash CTX122521 - NetScalerアプライアンスのデフォルト証明書をアプライアンスのホスト名に致する信頼された CA証明書に置き換える法

ndash Citrixドキュメント-SSLベースの仮想サーバーへの証明書とキーペアのバインド

bull 認証プロファイルこれはCitrix Gatewayで作成され機能する必要があります

ndash 詳細についてはCitrixのドキュメントを参照 -外部ユーザ認証の設定

ndash 詳細についてはチェックリストを参照してくださいAD FSを使してシングルサインオンを実装および管理する

bull ダウンロード Citrixクライアント

bull セッションポリシー（完全な VPN接続を許可する）


Citrix Gateway 130

ユーザーが Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに接続するとクライアントソフトウェアはポート 443（または Citrix Gateway上の構成済みポート）を介してセキュアなトンネルを確し認証情報を送信しますトンネルが確されるとCitrix Gatewayは保護されるネットワークを説明する構成情報を Citrix GatewayプラグインCitrix Secure Hubまたは Citrix Workspaceアプリに送信しますイントラネット IPを有効にした場合この情報には IPアドレスも含まれます

ユーザデバイス接続を設定するにはユーザが内部ネットワークでアクセスできるリソースを定義しますユーザーデバイス接続の設定には次のものが含まれます

bull 分割トンネリングbull ユーザーの IPアドレス (アドレスプール (イントラネット IP)を含む)bull プロキシサーバーを介した接続bull ユーザーがアクセスを許可するドメインの定義bull タイムアウト設定bull シングルサインオンbull Citrix Gateway経由で接続するユーザーソフトウェアbull モバイルデバイスへのアクセス

ほとんどのユーザーデバイス接続はセッションポリシーの部であるプロファイルを使して構成しますまた認証単位トラフィックおよび認可ポリシーを使してユーザーデバイスの接続設定を定義することもできますまたイントラネットアプリケーションを使して構成することもできます

Citrix Gatewayアプライアンスでの完全な VPNセットアップの構成

Citrix Gatewayアプライアンスで VPNセットアップを構成するには以下の順を実します

1 NetScaler構成ユーティリティから「トラフィック管理」gt「DNS」に移動します

2 次のスクリーンショットにすように[ネームサーバー]ノードを選択しますDNSネームサーバがリストされていることを確認します使できない場合はDNSネームサーバーを追加します

3 Citrix Gateway gt［ポリシー］の順に展開します

4「セッション」ノードを選択します

5 Citrix Gatewayセッションポリシーとプロファイル］ページの［プロファイル］タブを有効にして［追加］をクリックします

Citrix Gatewayセッションプロファイルの構成ダイアログボックスで構成するコンポーネントごとに各コンポーネントの「グローバルオーバーライド」オプションが選択されていることを確認します

6 [クライアントエクスペリエンス]タブをアクティブにします

7 ユーザーが VPNにログインするときにURLを表する場合は[ホームページ]フィールドにイントラネットポータルの URLをしますホームページパラメータが「nohomepagehtml」に設定されている場合ホームページは表されませんプラグインが起動するとブラウザインスタンスが起動し動的に強制終了されます


Citrix Gateway 130

8 [Split Tunnel]リストから的の設定を選択していることを確認します（この設定の詳細については上記を参照してください）

9 FullVPNを使する場合はクライアントレスアクセスリストから OFFを選択します

10 プラグインの [タイプ]リストから [WindowsMac OS X]が選択されていることを確認します

11 必要に応じて「Webアプリケーションへのシングルサインオン」オプションを選択します

12 次のスクリーンショットにすように必要に応じて [クライアントクリーンアッププロンプト]オプションが選択されていることを確認します

13 [セキュリティ]タブをアクティブにします

14 次のスクリーンショットにすように[既定の承認操作]リストから [ALLOW]が選択されていることを確認します

15 [公開アプリケーション]タブをアクティブにします

16［公開アプリケーション］オプションの［ICAプロキシ］リストから［OFF］が選択されていることを確認します


18［閉じる］をクリックします

19 Vserverの Citrix Gatewayセッションポリシーとプロファイル］ページの［ポリシー］タブを有効にするか必要に応じて GROUPUSERレベルでセッションポリシーを有効にします

20 次のスクリーンショットにすように必要な式または ns_trueを使してセッションポリシーを作成します

21 セッションポリシーを VPN仮想サーバーにバインドします

Citrix Gateway仮想サーバー］gt［ポリシー］の順に選択しますドロップダウンリストから必要なセッションポリシー（この例では Session_Policy）を選択します

22 分割トンネルが ONに設定されている場合はVPNに接続したときにユーザがアクセスできるようにするイントラネットアプリケーションを設定する必要がありますCitrix Gateway gt［リソース］gt［イントラネットアプリケーション］の順に選択します

23 新しいイントラネットアプリケーションを作成しますWindowsクライアントでの FullVPNの場合は[透過型]を選択します許可するプロトコル（TCPUDPANY）宛先タイプ（IPアドレスとマスクIPアドレスの範囲ホスト名）を選択します

24 次の式を使してiOSおよび Android上の Citrix VPNの新しいポリシーを設定します

25 次の式を使してiOSおよび Android上の Citrix VPNの新しいポリシーを設定しますREQHTTPHEADER User-Agent CONTAINS CitrixVPN ampamp (REQHTTPHEADER User-AgentCONTAINS NSGiOSplugin || REQHTTPHEADER User-Agent CONTAINS Android)


Citrix Gateway 130

26 必要に応じてUSERGROUPVSERVERレベルで作成されたイントラネットアプリケーションをバインドします

追加パラメータ

以下に設定できるパラメータの部とそれぞれの簡単な説明をします

分割トンネル

分割トンネルオフ

分割トンネルがオフに設定されている場合Citrix GatewayプラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャしVPNトンネル経由で Citrix Gatewayに送信しますつまりVPNクライアントはCitrix Gateway VIPを指すクライアント PCからのデフォルトルートを確しますつまり宛先に到達するにはすべてのトラフィックをトンネル経由で送信する必要がありますすべてのトラフィックはトンネルを介して送信されるため認可ポリシーではトラフィックが内部ネットワークリソースへの通過を許可するか拒否するかを決定する必要があります

「off」に設定するとWebサイトへの標準Webトラフィックを含むすべてのトラフィックがトンネルを通過しますこのWebトラフィックを監視および制御することが的である場合はNetScalerを使してこれらの要求を外部プロキシに転送する必要がありますユーザーデバイスは内部ネットワークにアクセスするためにプロキシサーバーを介して接続することもできますCitrix GatewayはHTTPSSLFTPおよび SOCKSプロトコルをサポートしていますユーザー接続のプロキシサポートを有効にするにはCitrix Gatewayでこれらの設定を指定する必要がありますCitrix Gatewayのプロキシサーバーが使する IPアドレスとポートを指定できますプロキシサーバーは内部ネットワークへのすべてのそれ以降の接続のためのフォワードプロキシとして使されます

詳細については次のリンクを参照してください

bull ユーザ接続のプロキシサポートの有効化

bull 分割トンネル OFF

分割トンネルON

分割トンネリングを有効にするとCitrix Gatewayプラグインが Citrix Gatewayに不要なネットワークトラフィックを送信しないようにできます分割トンネルが有効な場合Citrix GatewayプラグインはCitrix Gatewayによって保護されたネットワーク（イントラネットアプリケーション）宛てのトラフィックのみを VPNトンネル経由で送信しますCitrix Gatewayプラグインは保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gatewayに送信しませんCitrix Gatewayプラグインが起動するとCitrix Gatewayからイントラネットアプリケーションのリストを取得しクライアント PCのイントラネットアプリケーションタブで定義された各サブネットのルートを確しますCitrix Gatewayプラグインはユーザーデバイスから送信されたすべてのパケットを調べそのパケット内のアドレスをイントラネットアプリケーション（VPN接続の開始時に作成されたルーティングテーブル）のリストと較しますパケット内の宛先アドレスがイントラネットアプリケーションのいずれか内に


Citrix Gateway 130

ある場合Citrix Gatewayプラグインは VPNトンネルを介して Citrix Gatewayにパケットを送信します宛先アドレスが定義済みのイントラネットアプリケーションにない場合パケットは暗号化されずユーザーデバイスはクライアント PCで最初に定義されたデフォルトのルーティングを使してパケットを適切にルーティングします「分割トンネリングを有効にするとイントラネットアプリケーションはインターセプトされトンネルを介して送信されるネットワークトラフィックを定義します」


bull 分割トンネル ON

リバース分割トンネル

Citrix Gatewayではリバース分割トンネリングもサポートされていますリバース分割トンネリングはCitrixGatewayが傍受しないネットワークトラフィックを定義します分割トンネリングを逆向に設定するとイントラネットアプリケーションはCitrix Gatewayがインターセプトしないネットワークトラフィックを定義しますリバース分割トンネリングを有効にすると内部 IPアドレス宛てのネットワークトラフィックはすべて VPNトンネルをバイパスしその他のトラフィックは Citrix Gatewayを通過しますリバース分割トンネリングはすべてのローカル LANトラフィックをログに記録するために使できますたとえばユーザーがホームワイヤレスネットワークを持っていてCitrix Gatewayプラグインを使してログオンしている場合Citrix Gatewayはワイヤレスネットワーク内のプリンターまたは他のデバイス宛てのネットワークトラフィックを傍受しません

分割トンネリングを設定するには

1 構成ユーティリティから［構成］タブ gt［Citrix Gateway］gt［ポリシー］gt［セッション］の順に選択します

2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします

3 [クライアントエクスペリエンス]タブで[分割トンネル]の横にある [グローバル上書き]を選択しオプションを選択して [OK]を 2回クリックします

分割トンネリングおよび認可の設定

Citrix Gatewayの展開を計画するときは分割トンネリングとデフォルトの承認アクションと承認ポリシーを考慮することが重要です

たとえばネットワークリソースへのアクセスを許可する認可ポリシーがあるとします分割トンネリングがONに設定されておりイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックを送信するように構成していないCitrix Gatewayにこのような構成がある場合リソースへのアクセスは許可されますがユーザーはリソースにアクセスできません

認証ポリシーによってネットワークリソースへのアクセスが拒否され分割トンネリングがオンに設定されていてイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合Citrix Gateway atewayプラグインは Citrix Gatewayにトラフィックを送信しますがリソースへのアクセスは拒否されます


Citrix Gateway 130

承認ポリシーの詳細については以下を参照してください

bull 認可の設定

bull 認可ポリシーの設定

bull デフォルトのグローバル認可の設定

内部ネットワークリソースへのネットワークアクセスを構成するには

1 構成ユーティリティで［構成］タブ gt［Citrix Gateway］gt［リソース］gt［イントラネットアプリケーション］の順に選択します


3 ネットワークアクセスを許可するためのパラメータをし[作成][閉じる]の順にクリックします

VPNユーザーのイントラネット IPを設定しない場合ユーザーは Citrix Gateway VIPにトラフィックを送信しそこから NetScalerが内部 LAN上にあるイントラネットアプリケーションリソースに新しいパケットを構築しますこの新しいパケットはSNIPからイントラネットアプリケーションに向かって発信されますここからイントラネットアプリケーションはパケットを取得して処理しそのパケットの送信元（この場合は SNIP）に返信しようとしますSNIPはパケットを取得し要求をったクライアントに応答を返送します詳細については次のリンクを参照してください

イントラネット IPなし

イントラネット IPが使されている場合ユーザーは Citrix Gateway VIPにトラフィックを送信しそこからNetScalerはクライアント IPをプールから構成された INTRANET IPのいずれかにマップしますNetScalerはイントラネット IPプールを所有するため内部ネットワークではこれらの範囲を使しないでくださいNetScalerはDHCPサーバーの場合と同様に着信 VPN接続にイントラネット IPを割り当てますNetScalerはユーザーがアクセスする LAN上にあるイントラネットアプリケーションへの新しいパケットを構築しますこの新しいパケットはイントラネット IPの 1つからイントラネットアプリケーションに向かって発信されますここからイントラネットアプリケーションはパケットを取得して処理しそのパケットのソース (INTRANET IP)に返信しようとしますこの場合応答パケットを NetScalerに戻す必要がありますNetScalerではイントラネット IPが配置されています（NetScalerはイントラネット IPサブネットを所有しています）このタスクを実するにはネットワーク管理者が INTRANET IPへのルートを設定しSNIPの 1つを指す必要があります（対称トラフィックを避けるためにパケットが最初にNetScalerから出るルートを保持する SNIPにトラフィックを戻すことをお勧めします）


イントラネット IP

ネームサービス解決の設定

Citrix Gatewayのインストール時にCitrix Gatewayウィザードを使してネームサービスプロバイダーなどの追加設定を構成できますネームサービスプロバイダーは完全修飾ドメイン名 (FQDN)を IPアドレスに変換しますCitrix GatewayウィザードではDNSサーバーまたはWINSサーバーの構成DNS検索の優先度およびサーバーへの接続を再試する回数を設定できます


Citrix Gateway 130

Citrix Gatewayウィザードを実するとその時点で DNSサーバーを追加できますセッションプロファイルを使して追加の DNSサーバーとWINSサーバーを Citrix Gatewayに追加できますその後ウィザードで最初に使した名前解決サーバーとは別の名前解決サーバーに接続するようにユーザーとグループに指できます

Citrix Gatewayで追加の DNSサーバーを構成する前に名前解決のための DNSサーバーとして機能する仮想サーバーを作成します

セッションプロファイル内に DNSまたはWINSサーバーを追加するには

1 構成ユーティリティで［構成］タブ gt［Citrix Gateway］gt［ポリシー］gt［セッション］を選択します


3 [ネットワーク構成]タブで次のいずれかの操作をいます

bull DNSサーバーを構成するには[DNS仮想サーバー]の横にある [グローバル上書き]をクリックしサーバーを選択して [OK]をクリックします

bull WINSサーバーを構成するには[WINSサーバー IP]の横にある [グローバル上書き]をクリックしIPアドレスをして [OK]をクリックします


ユーザーアクセス式の選択

March 26 2020

ユーザー接続を提供するように Citrix Gatewayを構成するには以下のシナリオを使します

bull Citrix Workspaceアプリを使したユーザー接続Citrix WorkspaceアプリはStoreFrontまたはWebInterfaceと連携してサーバーファーム内の公開アプリケーションまたは仮想デスクトップへのアクセスをユーザーに提供しますCitrix WorkspaceアプリはICAネットワークプロトコルを使してユーザー接続を確するソフトウェアですユーザーはユーザーデバイスに Citrix WorkspaceアプリをインストールしますユーザーがWindowsベースまたは Macベースのコンピューターに Citrix WorkspaceアプリをインストールするとCitrix Workspaceアプリはユーザー接続の Citrix Gatewayプラグインを含むすべてのプラグインをサブサバイサームしますCitrix GatewayはAndroid向け Citrix Workspaceアプリと iOS向け Citrix Workspaceアプリからの接続もサポートしていますユーザーはCitrix EndpointManagementStoreFrontまたはWeb Interfaceを使して仮想デスクトップおよびWindowsベースWebモバイルおよび SaaSアプリケーションに接続できます

bull Secure Hubとのユーザー接続ユーザーはEndpoint Managementで設定されたモバイルWebおよび SaaSアプリケーションに接続できますユーザーはモバイルデバイス（Androidまたは iOS）にSecure HubをインストールしますユーザーはSecure HubにログオンするとWorxMailとWorxWebとEndpoint Managementにインストールした他のモバイルアプリをインストールできますSecure


Citrix Gateway 130

HubSecure MailおよびWorxWebはマイクロ VPNテクノロジーを使して Citrix Gatewayを介して接続を確します

bull Citrix Gateway プラグインをスタンドアロンアプリケーションとして使するユーザー接続CitrixGatewayプラグインはユーザーがユーザーデバイスにダウンロードしてインストールできるソフトウェアですユーザーがプラグインを使してログオンするとユーザーはオフィスにいるかのようにセキュリティで保護されたネットワークのリソースにアクセスできますリソースには電メールサーバーファイル共有イントラネットWebサイトが含まれます

bull クライアントレスアクセスを使したユーザ接続クライアントレスアクセスによりユーザーはユーザーデバイスに Citrix Gatewayプラグインや Citrix Workspaceアプリなどのソフトウェアをインストールしなくても必要なアクセスが可能になりますクライアントレスアクセスではOutlook Web AccessやSharePointなどの限られたWebリソースCitrix Virtual Appsで公開されたアプリケーションCitrixVirtual Apps and Desktopsからの仮想デスクトップアクセスインターフェイスを介してセキュアなネットワーク内のファイル共有に接続できますユーザーはWebブラウザで Citrix GatewayのWebアドレスをして接続し選択ページでクライアントレスアクセスを選択します

bull 事前認証または認証後のスキャンが失敗した場合のユーザー接続このシナリオはアクセスシナリオのフォールバックと呼ばれますアクセスシナリオのフォールバックではユーザーデバイスが最初のエンドポイント分析スキャンに合格しなかった場合にCitrix Workspaceアプリを使してCitrix Gatewayプラグインから StoreFrontまたはWeb Interfaceにフォールバックできます

ユーザーが Citrix Workspaceアプリを使して Citrix Gatewayにログオンすると事前認証スキャンが機能しません認証後のスキャンはCitrix Gatewayが VPNトンネルを確するときに機能します

ユーザーは以下の法で Citrix Gatewayプラグインをダウンロードしてインストールできます

bull Webブラウザーを使して Citrix Gatewayに接続するbull Citrix Gateway接続を受けれるように構成された StoreFrontへの接続bull グループポリシーオブジェクト (GPO)を使してプラグインをインストールするbull Citrix ADCプラグインをMerchandising Serverアップロードする


ユーザーアクセスの Citrix Gatewayプラグインの展開

March 26 2020

Citrix Gatewayにはユーザーアクセスの次のプラグインが付属しています

bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac


Citrix Gateway 130

bull Citrix Gateway plug-in for Java

ユーザーが Citrix Gatewayに初めてログオンするとWebページから Citrix GatewayプラグインをダウンロードしてインストールしますユーザーはWindowsベースのコンピューターの通知領域にある Citrix GatewayアイコンをクリックしてログオンしますMac OS Xコンピュータではユーザーは [Dock]メニューまたは [アプリケーション]メニューからログオンできますCitrix Gatewayを新しいソフトウェアバージョンにアップグレードするとユーザーデバイス上で Citrix Gatewayプラグインが動的に更新されます

Javaの Citrix GatewayプラグインはJavaをサポートする任意のユーザーデバイスで使できますJavaの Citrix Gatewayプラグインはほとんどの TCPベースのアプリケーションをサポートしますがWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインの部の機能のみを提供しますJavaの Citrix Gatewayプラグインを使するとユーザーが定義したネットワークリソースへのアクセスが制限されますJavaプラグインの詳細については[Java Citrix Gatewayプラグインを使した接続]を参照してください(ng-plugin-select-typeng-connect-ng-plugin-java-configure-tskhtml)

Citrix Workspaceアプリアップデーターを使した Citrix Gatewayプラグインの展開

またCitrix Workspaceアプリアップデーターを使してCitrix Gatewayプラグインを展開することもできますユーザーが Citrix Workspaceアプリ Updaterをインストールするとユーザーデバイスにインストールされているすべてのユーザープラグインが Citrix Workspaceアプリに動的に追加されますユーザーはCitrixWorkspaceアプリを使して Citrix GatewayプラグインにログオンしますそのためにはCitrix Workspaceアプリを開きCitrix Gatewayプラグインを右クリックし［ログオン］をクリックしますCitrix Gatewayアプライアンスを新しいバージョンにアップグレードするとCitrix Workspaceアプリ内の Citrix Gatewayプラグインが動的に新しいバージョンにアップグレードされます

MSIインストーラーパッケージを使した Citrix Gatewayプラグインの展開

Citrix GatewayプラグインはMicrosoft Active Directoryインフラストラクチャまたは標準のサードパーティ製MSI展開ツール（Windowsサーバーアップデートサービスなど）を使して展開できますWindowsインストーラーパッケージをサポートするツールを使する場合はMSIファイルをサポートする任意のツールでパッケージを展開できます次に展開ツールを使して適切なユーザーデバイスにソフトウェアを展開してインストールします

元化された展開ツールを使する利点は次のとおりです

bull セキュリティ要件を遵守する能たとえば管理者以外のユーザーのソフトウェアインストール権限を有効にせずにユーザーソフトウェアをインストールできます

bull ソフトウェアのバージョンを管理するソフトウェアの更新バージョンをすべてのユーザーに同時に展開できます

bull 拡張性元化された導戦略は追加のユーザーをサポートするように簡単に拡張できますbull 優れたユーザーエクスペリエンスこのプロセスにユーザーを関与させることなくインストール関連の問題を展開テストおよびトラブルシューティングできます


Citrix Gateway 130

ユーザーソフトウェアのインストールに対する管理制御が優先されユーザーデバイスへのアクセスがすぐに使できる場合はこのオプションをお勧めします

詳しくは「Active Directoryからの Citrix Gatewayプラグインの展開」を参照してください

展開するソフトウェアプラグインの決定

Citrix Gateway環境でユーザーデバイス上にソフトウェアプラグインを必要としない場合はクライアントレスアクセスが提供されているとなされますこのシナリオではユーザーはネットワークリソースにアクセスするのにWebブラウザーのみが必要ですただし部の機能ではユーザーのデバイスにプラグインソフトウェアが必要です


ユーザーの Citrix Gatewayプラグインの選択

March 26 2020

Citrix Gatewayを構成するときにユーザーのログオン法を選択できますユーザーは次のいずれかのプラグインを使してログオンできます

bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac OS Xbull Citrix Gateway plug-in for Java

構成を完了するにはセッションポリシーを作成しポリシーをユーザーグループまたは仮想サーバーにバインドしますまたグローバル設定を構成してプラグインを有効にすることもできますグローバルプロファイルまたはセッションプロファイル内でプラグインの種類としてWindowsMac OS Xまたは Javaのいずれかを選択しますユーザーがログオンするとグローバルに定義されたプラグインまたはセッションプロファイルとポリシーで定義されたプラグインを受け取りますプラグインの種類ごとに個別のプロファイルを作成する必要がありますセッションプロファイルでは「WindowsMac OS X」または「Java」のいずれかを選択できますJavaに CitrixGatewayプラグインを構成する法についてはJava Citrix Gatewayプラグインを使した接続を参照してください

プラグインをグローバルに設定するには




Citrix Gateway 130

3 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [WindowsMac OS X]を選択し[OK]をクリックします

セッションプロファイルでWindowsまたはMac OS Xのプラグインタイプを設定するには


2 次のいずれかをいますbull 新しいセッションポリシーを作成する場合は詳細ウィンドウで [追加]をクリックしますbull 既存のポリシーを変更する場合はポリシーを選択して [開く]をクリックします

3 新しいプロファイルを作成するか既存のプロファイルを修正しますこれをうには次のいずれかの操作をいます

bull [プロファイルの要求]の横にある [新規]をクリックしますbull [プロファイルの要求]の横にある [変更]をクリックします

4 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [グローバルにオーバーライド]をクリックし[WindowsMac OS X]を選択します

5 次のいずれかをいますbull 新しいプロファイルを作成する場合は[Create]をクリックしポリシーダイアログボックスで式を設定し[Create]をクリックして[Close]をクリックします

bull 既存のプロファイルを修正する場合は選択後に [OK]を 2回クリックします

Windowsの Citrix Gatewayプラグインの傍受モードを設定するには

Windowsの Citrix Gatewayプラグインを構成する場合は傍受モードを構成して透過モードに設定する必要があります

1 構成ユーティリティで［構成］タブをクリックし［Citrix Gateway］gt［リソース］の順に展開し［イントラネットアプリケーション］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [透明]をクリックします5「プロトコル」で「ANY」を選択します6 [宛先の種類]で[IPアドレス]と [ネットマスク]を選択します7 に IPアドレスをします8 [ネットマスク]にサブネットマスクをし[作成][閉じる]の順にクリックします



Citrix Gateway 130

Windowsの Citrix Gatewayプラグインのインストール

March 26 2020

ユーザーが Citrix Gatewayにログオンするとユーザーデバイスに Citrix Gatewayプラグインをダウンロードしてインストールします

プラグインをインストールするにはユーザーがローカル管理者または Administratorsグループのメンバーである必要がありますこの制限は初回インストールにのみ適されますプラグインのアップグレードには管理者レベルのアクセスは必要ありません

ユーザーが Citrix Gatewayに接続して使できるようにするには次の情報を提供する必要があります

bull Citrix GatewayのWebアドレス（例httpsNetScalerGatewayFQDN）bull エンドポイントリソースとポリシーを構成している場合Citrix Gatewayプラグインを実するためのシステム要件

ユーザーデバイスの構成によっては次の情報も提供する必要があります

bull ユーザーがコンピュータ上でファイアウォールを実する場合アクセスを許可したリソースに対応する IPアドレスとの間のトラフィックがファイアウォールによってブロックされないようにファイアウォール設定を変更する必要がある場合がありますCitrix GatewayプラグインはWindows XPのインターネット接続ファイアウォールとWindows XPのサービスパック 2Windows VistaWindows 7Windows 8またはWindows 81のWindowsファイアウォールを動的に処理します

bull Citrix Gateway接続を介して FTPにトラフィックを送信するユーザーはFTPアプリケーションをパッシブ転送するように設定する必要がありますパッシブ転送とはリモートコンピュータが FTPサーバからリモートコンピュータへのデータ接続を確するのではなくFTPサーバへのデータ接続を確することを意味します

bull 接続全体で Xクライアントアプリケーションを実するユーザーはXManagerなどの Xサーバーを分のコンピューターで実する必要があります

bull Receiver for Windowsまたは Receiver for MacをインストールするユーザーはCitrix Gatewayプラグインを Receiverから起動するかWebブラウザを使して起動できますReceiverまたはWebブラウザを使して Citrix Gatewayプラグインを使してログオンする法についてユーザーに説明します

ユーザーはファイルやアプリケーションを組織のネットワークに対してローカルであるかのように操作するためユーザーを再トレーニングしたりアプリケーションを構成したりする必要はありません

セキュリティで保護された接続を初めて確するにはWebログオンページを使して Citrix GatewayにログオンしますWebアドレスの般的な形式はhttpscompanynamecomですユーザーがログオンするとCitrixGatewayプラグインをダウンロードしてコンピュータにインストールできます

Windowsの Citrix Gatewayプラグインをインストールするには

1 WebブラウザでCitrix GatewayのWebアドレスをします


Citrix Gateway 130

2 ユーザー名とパスワードをし[ログオン]をクリックします3 [ネットワークアクセス]を選択し[ダウンロード]をクリックします4 指に従ってプラグインをインストールします

ダウンロードが完了するとCitrix Gatewayプラグインが接続しWindowsベースのコンピューターの通知領域にメッセージが表されます

ユーザーが Webブラウザーを使せずに Citrix Gatewayプラグインを使して接続できるようにする場合はWindowsベースのコンピューターの通知領域で Citrix Gatewayアイコンを右クリックするか［スタート］メニューからプラグインを起動したときにログオンダイアログボックスを表するようにプラグインを構成できます

Windowsの Citrix Gatewayプラグインのログオンダイアログボックスを構成するには

ログオンダイアログボックスを使するように Citrix Gatewayプラグインを構成するにはこの順を完了するためにユーザーがログオンする必要があります

1 Windows ベースのコンピューターの通知領域で Citrix Gateway のアイコンを右クリックし［CitrixGatewayの構成］をクリックします

2 [プロファイル]タブをクリックし[プロファイルの変更]をクリックします3［オプション］タブで［Citrix Gatewayプラグインを使してログオンする］をクリックします注ユーザーが Receiver内から Citrix Gatewayの構成］ダイアログボックスを開いた場合［オプション］タブは使できません


Active Directoryからの Citrix Gatewayプラグインの展開

March 26 2020

ユーザーデバイスに Citrix Gateway プラグインをインストールするための管理者権限がない場合はActiveDirectoryからユーザーにプラグインを展開できます

この法を使して Citrix Gatewayプラグインを展開する場合インストールプログラムを抽出しグループポリシーを使してプログラムを展開できますこのタイプの展開の般的な順は次のとおりです

bull MSIパッケージを抽出していますbull グループポリシーを使してプラグインを配布するbull 配布ポイントを作成する


Citrix Gateway 130

bull グループポリシーオブジェクトを使して Citrix Gatewayプラグインパッケージを割り当てます注Active Directory からの Citrix Gateway プラグインの配布はWindows XPWindows VistaWindows 7およびWindows 8でのみサポートされています

MSIパッケージは構成ユーティリティまたは CitrixのWebサイトからダウンロードできます

構成ユーティリティから Citrix GatewayプラグインのMSIパッケージをダウンロードするには

1 構成ユーティリティで[ダウンロード]をクリックします

2［Citrix Gatewayプラグイン］で［Windows Citrix Gatewayプラグインのダウンロード］をクリックしnsvpnc_setupexeファイルをWindowsサーバーに保存します

注[ファイルのダウンロード] ダイアログボックスが表されない場合はCtrl キーを押しながら [CitrixGateway Plugin for Windowsをダウンロード]リンクをクリックします

3 コマンドプロンプトでnsvpnc_setupexeを保存したフォルダに移動し次のようにします

setup c

これによりageemsiファイルが抽出されます

4 解凍したファイルをWindowsサーバ上のフォルダに保存します

ファイルを抽出した後Windows Serverのグループポリシーを使してファイルを配布します

配布を開始する前にグループポリシー管理コンソールをWindows Server 2003Windows Server 2008またはWindows Server 2012にインストールします詳細についてはWindowsのオンラインヘルプを参照してください

注グループポリシーを使して Citrix Gatewayプラグインを公開する場合はパッケージをユーザーデバイスに割り当てることをお勧めしますMSIパッケージはデバイスごとにインストールされるように設計されています

ソフトウェアを配布する前にMicrosoftインターネットセキュリティとアクセラレータ (ISA)サーバーなどの公開サーバー上のネットワーク共有に配布ポイントを作成します

配布ポイントを作成するには

1 管理者として公開サーバーにログオンします2 フォルダーを作成し配布パッケージにアクセスする必要があるすべてのアカウントの読み取りアクセス許可を持つネットワーク上で共有します

3 コマンドプロンプトで解凍したファイルを保存するフォルダに移動し「msiexec-a ageemsi」とします


Citrix Gateway 130

4［ネットワークの場所］画で［変更］をクリックしCitrix Gatewayプラグインの管理インストールを作成する共有フォルダーに移動します

5 [OK]をクリックし[インストール]をクリックします

展開したパッケージをネットワーク共有に配置した後Windowsのグループポリシーオブジェクトにパッケージを割り当てます

Citrix Gatewayプラグインを管理ソフトウェアパッケージとして正常に構成するとユーザーデバイスの次回起動時にプラグインが動的にインストールされます

注インストールパッケージがコンピュータに割り当てられている場合ユーザーはコンピュータを再起動する必要があります

インストールが開始されるとCitrix Gatewayプラグインがインストール中であることをすメッセージが表されます


Active Directoryを使した Citrix Gatewayプラグインのアップグレードと削除

March 26 2020

Citrix Gatewayプラグインの各リリースはパッチとしてではなく完全な製品インストールとしてパッケージ化されていますユーザーがログオンしCitrix Gatewayプラグインが新しいバージョンのプラグインを検出するとプラグインは動的にアップグレードされますまたActive Directoryを使してアップグレードするためにCitrix Gatewayプラグインを展開することもできます

これをうにはCitrix Gatewayプラグインの新しい配布ポイントを作成します新しいグループポリシーオブジェクトを作成し新しいバージョンのプラグインを割り当てます次に新しいパッケージと既存のパッケージ間のリンクを作成しますリンクを作成するとCitrix Gatewayプラグインが更新されます

ユーザーデバイスからの Citrix Gatewayプラグインの削除

ユーザーデバイスから Citrix Gatewayプラグインを削除するにはグループポリシーオブジェクトエディターから割り当てられたパッケージを削除します

ユーザーデバイスからプラグインを削除するとプラグインがアンインストール中であることをすメッセージが表されます



Citrix Gateway 130

Active Directoryを使した Citrix Gatewayプラグインのインストールのトラブルシューティング

March 26 2020

ユーザーデバイスの起動時に割り当てられたパッケージのインストールに失敗するとアプリケーションイベントログに次の警告が表されることがあります

ソフトウェアのインストール設定に変更を適できませんでした管理者がグループポリシーのログオンの最適化を有効にしているためソフトウェアのインストールポリシーアプリケーションは次のログオンまで遅れていますエラーは次のとおりですグループポリシーフレームワークは同期フォアグラウンドポリシーの更新で拡張を呼び出す必要があります

このエラーはWindows XPの速ログオン最適化によって発しますWindows XPではグループポリシーオブジェクトの処理を含むすべてのネットワークコンポーネントをオペレーティングシステムが初期化する前にログオンできますポリシーによっては有効にするには複数の再起動が必要になる場合がありますこの問題を解決するにはActive Directoryで速ログオン最適化を無効にします

管理対象ソフトウェアのインストールに関するその他の問題のトラブルシューティングをうにはグループポリシーを使してWindowsインストーラログを有効にすることをお勧めします


Java Citrix Gatewayプラグインを使した接続

March 26 2020

Javaの Citrix GatewayプラグインはJavaをサポートする任意のユーザーデバイスで使できます

注 Javaランタイム環境（JRE）バージョン 142から最新バージョンの JREまで次のオペレーティングシステムおよびWebブラウザが必要です

bull Mac OS Xbull Linuxbull Windows XP（すべてのバージョン）Windows VistaWindows 7Windows 8bull Internet Explorerbull Firefoxbull ウェブブラウザの最新バージョンに Safari 12まで

Java の Citrix Gateway プラグインはほとんどの TCP ベースのアプリケーションをサポートしますがWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインの部の機能のみを


Citrix Gateway 130

提供します

Java Citrix Gatewayプラグインを使するためにユーザーデバイスに対する管理者権限は必要ありませんセキュリティ上の理由から使するユーザーデバイスに関係なく特定の仮想サーバーグループまたはユーザーに対してこのプラグインバージョンを使する必要がある場合があります

ユーザーデバイスに Citrix Gateway wayプラグインをインストールするように Citrix Gatewayを構成するにはセッションポリシーを構成し仮想サーバーグループまたはユーザーにバインドします

ユーザーがWindows 7を実しているコンピューターからログオンした場合Internet Explorerでプロキシサーバーの情報は動的には設定されませんユーザーはWindows 7を実しているコンピューターでプロキシサーバーを動で構成する必要があります

Javaに Citrix Gatewayプラグインを構成するには


2 詳細ウィンドウで[プロファイル]タブをクリックします3 セッションプロファイルを選択し[開く]をクリックします4 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [グローバル上書き]をクリックし

[Java]を選択して [OK]をクリックします

インターセプションモードを設定するには

セッションポリシーを作成したらイントラネットアプリケーションを作成してCitrix Gatewayプラグイン forJavaでログオンするユーザーの傍受モードを定義します

1 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［リソース］の順に展開し［イントラネットアプリケーション］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]ボックスに名前をします4 [プロキシ]をクリックします5 [宛先 IPアドレス]に IPアドレスをします6 [宛先ポート]にポート番号をします7 [送信元 IPアドレス]に IPアドレスをします8 [ソースポート]にポート番号をし[作成][閉じる]の順にクリックします

送信元 IPアドレスとポート番号を指定しない場合Citrix Gatewayでは IPアドレスに 127001ポートに 0が動的に使されます


Citrix Gateway 130

WindowsベースのコンピュータでのHOSTSファイルの更新

ユーザーがWindows VistaWindows 7またはWindows 8を実しているコンピューターで Javaの CitrixGatewayプラグインを使してログオンするとTCPイントラネットアプリケーションのネットワークトラフィックはトンネリングされませんHOSTSファイルはVistaおよびWindows 7を実しているコンピューターでは動的に更新されませんイントラネットアプリケーションを HOSTSファイルに動で追加する必要があります

Windowsベースのコンピュータではメモ帳などのテキストエディタでHOSTSファイルを編集できますHOSTSファイルをメモ帳で編集する場合は管理者としてメモ帳を実する必要がありますJava Citrix Gatewayプラグインのイントラネットアプリケーションのマッピングエントリを追加しファイルを保存します


Citrix Gatewayプラグインと Citrix Workspaceアプリの統合

April 9 2020

Citrix GatewayはCitrix Workspaceアプリをサポートしていますオーケストレーションされたシステムは次のコンポーネントで構成されています

bull Windows向け Citrix Workspaceアプリ 34以降bull Mac向け Citrix Workspaceアプリbull Android向け Citrix Workspaceアプリbull iOS向け Citrix Workspaceアプリbull StoreFront 21以降bull アプリケーションコントローラー 28以降または Citrix Endpoint Management 10bull シトリックスのWebサイトでホストされている Citrixアップデートサービス

Citrix製品との Citrix Gatewayの互換性について詳しくは「Citrix製品との互換性」を参照してください

ユーザーがアプライアンスにログオンしたときにCitrix Gateway プラグインによって Web ブラウザが開きCitrix WorkspaceアプリホームページにシングルサインオンできるようCitrix Gatewayを構成できますユーザーはホームページから Citrix Workspaceアプリをダウンロードできます

ユーザーが Citrix Workspaceアプリでログオンするとユーザー接続は次の法で Citrix Gateway経由でルーティングできます

bull Endpoint Managementへのダイレクトbull StoreFrontに直接bull Endpoint Managementで MDXモバイルアプリを構成しない場合StoreFrontと Endpoint Manage-

ment


Citrix Gateway 130

bull Endpoint Management で MDX モバイルアプリを構成する場合はEndpoint Management からStoreFrontへ

注 Endpoint Management に直接ルーティングされる接続はAppController 20AppController 25AppController 26アプリケーションコントローラー 28およびアプリケーションコントローラー 29でのみサポートされますAppController 11をネットワークに展開している場合ユーザー接続は StoreFront経由でルーティングする必要があります


ユーザー接続と Citrix Workspaceアプリの仕組み

March 26 2020

ユーザーはCitrix Workspaceアプリから次のアプリデスクトップおよびデータに接続できます

bull StoreFrontおよびWeb Interfaceで公開されたWindowsベースのアプリケーションおよび仮想デスクトップ

bull Citrix Endpoint Managementを介してアクセスされる ShareFileデータ

ユーザーは次の Citrix Workspaceアプリのいずれかを使してログオンできます

bull Web向け Citrix Workspaceアプリbull Windows向け Citrix Workspaceアプリbull Mac向け Citrix Workspaceアプリbull iOS向け Citrix Workspaceアプリbull Android向け Citrix Workspaceアプリ

ユーザーはWebブラウザーまたはユーザーデバイスの Citrix Workspaceアプリのアイコンを使してWebCitrix Workspaceアプリでログオンできます

ユーザーが Citrix Workspaceアプリの任意のバージョンでログオンするとアプリケーションShareFileデータおよびデスクトップがブラウザまたは Citrix Workspaceアプリのウィンドウに表されます


Citrix Workspaceアプリへの Citrix Gatewayプラグインの追加

March 26 2020


Citrix Gateway 130

ユーザーデバイスに Citrix Workspaceアプリをインストールするとユーザーは Citrix Workspaceアプリを介して Citrix Gatewayプラグインを使してログオンできますCitrix Gatewayプラグインを MerchandisingServerアップロードするとプラグインがユーザーデバイスの Citrix Workspaceアプリにダウンロードされてインストールされますユーザーが Citrix Workspaceアプリを初めてインストールするときに Citrix Gatewayプラグインをインストールしている場合プラグインは動的に Citrix Workspaceアプリに追加されます

ユーザーデバイスへのプラグインの配信

プラグインをユーザーデバイスに配信するにはMerchandising Serverに Citrix Gatewayプラグインをアップロードして構成する必要がありますユーザーが選択するとプラグインはMerchandising Serverからダウンロードおよびインストールされます

ユーザーが Citrix Gatewayプラグインをインストールした後Citrix WorkspaceアプリをインストールするとCitrix Workspaceアプリのインストールが完了するとCitrix Workspaceアプリのメニューに Citrix Gatewayプラグインが表されます

ユーザーが Windows の Citrix Workspace アプリを持っている場合ユーザーは Windows の CitrixWorkspaceアプリアップデーターをインストールできますこれはプラグインを更新しMerchandising Serverと通信するオプションのコンポーネントですCitrix WorkspaceアプリにはCitrix Gatewayプラグインを含め配信可能なすべてのプラグインが含まれていますWindows Citrix Workspaceアプリアップデーターの詳細についてはCitrix eDocsライブラリにある Citrix Workspaceアプリとプラグインのセクションを参照してください

Citrix Workspaceアプリを使した Citrix Gatewayへの接続

ユーザーがWindowsの Citrix Workspaceアプリに接続する場合通知領域で Citrix Workspaceアプリのアイコンを右クリックし［環境設定］をクリックして［プラグインの状態］をクリックしますCitrix Gatewayプラグインがユーザーデバイスにインストールされている場合ユーザーは Citrix Gatewayプラグインを右クリックし［ログオン］をクリックします認証が成功するとCitrix Gatewayプラグインは Citrix Gatewayへの接続を確し完全な VPNトンネルを確します

ユーザーはWebブラウザを使してログオンすることもできますユーザーはCitrix Gatewayの完全修飾ドメイン名（FQDN）をしログオンしますCitrix Gatewayが接続を確するとユーザーは Citrix Workspaceアプリの［環境設定］gt［プラグインのステータス］パネルで接続を確認できます

Citrix GatewayのWebアドレスはMerchandising Serverで構成されたメタデータの部でありユーザーはアドレスを変更できませんCitrix GatewayプラグインによりCitrix Gatewayへのログオンが開始されますユーザーデバイスにインストールされているWindowsの Citrix Gatewayプラグインのバージョンが CitrixGatewayアプライアンスのバージョンと異なる場合はユーザーがログオンしたときにプラグインが動的にダウングレードまたはアップグレードされますMac OS Xの Citrix Gatewayプラグインは動的にダウングレードされません以前のバージョンのプラグインをMacコンピュータにインストールするにはまず Citrix GatewayプラグインをアンインストールしてからCitrix Gatewayから以前のバージョンをダウンロードする必要があります


Citrix Gateway 130

Citrix Gatewayプラグインのアップグレードまたはダウングレード

Citrix Gatewayプラグインのアップグレードまたはダウングレード中にアプライアンスは正しいバージョンのプラグインを削除ダウンロードインストールしますユーザーはCitrix Workspaceアプリの［環境設定］gt［プラグインのステータス］パネルでプラグインのエントリを確認することで新しいインストールを確認できます新しくインストールした Citrix GatewayプラグインのバージョンはMerchandising Serverで設定したバージョンとは異なる場合があります

Citrix GatewayプラグインをMerchandising Serverに追加する

またCitrix Gatewayプラグインの配信をMerchandising Serverで構成することもできますマーチャンダイジングサーバーではCitrix GatewayプラグインのMSIインストールパッケージをアップロードできるWeb構成インターフェイスが提供されますMerchandising Serverでは次の操作を実できます

bull Citrix Gatewayプラグインのバージョンとメタデータを指定します

bull Citrix Gatewayアプライアンスの 1つまたは複数のWebアドレスを構成します

bull オペレーティングシステムまたはその他のパラメータに基づいて特定のルールを関連付けます

ユーザーはMerchandising Serverで構成されたサーバーのリストからサーバーを追加または削除することはできませんがCitrix Workspaceアプリのネットワーク設定パネルの構成済みリストから別のサーバーを選択することはできます

アクセスシナリオのフォールバックまたは負荷分散を使している場合はCitrix GatewayのWebアドレスの固定セットを構成しMerchandising Serverデフォルトのアドレスとして指定することができますユーザーはCitrix Workspaceアプリのメニューから［ログオン］を選択するとデフォルトのサーバーに接続しますユーザーはCitrix Workspaceアプリの［環境設定］gt［ネットワーク設定］パネルを使して表されたリストから別のアドレスを選択できます

ユーザーは引き続きWebブラウザーを使して任意の Citrix GatewayにログオンできますユーザーがWebブラウザーを使してログオンするとCitrix Gatewayプラグインは動的に Citrix Gatewayのバージョンにアップグレードまたはダウングレードされます

以下にCitrix GatewayプラグインをMerchandising Serverに追加する般的な順をします具体的な構成順についてはCitrix eDocsライブラリの「テクノロジー」セクションの「Merchandising Server」を参照してください

bull Merchandising Server管理コンソールの [全般]タブで設定を構成します

bull Citrix GatewayプラグインをMerchandising Serverに追加します

bull ターゲットプラットフォームに適したプラグインバージョンを選択しますCitrix Gatewayプラグインを商品配信に追加ページにプラグインを表するにはMerchandising Serverメインページに追加する必要があります

bull Citrix Gatewayプラグインの配信を構成します


Citrix Gateway 130

bull Citrix Gatewayの Webアドレスを識別する場所のわかりやすい名前を使しますこの名前はCitrixWorkspaceアプリに表されますCitrix Gatewayアプライアンスを追加することもできます

bull 認証の種類を指定しユーザー名パスワード暗証番号（PIN）などCitrix Workspaceアプリのログオンダイアログボックスに表される特定のラベルをカスタマイズします

bull 配送のルールを追加します

bull [配信へのルールの追加]ページにルールを表する場合はルールを作成する必要があります

bull 配送のスケジュールを設定します


Citrix Workspaceアプリのアイコンの切り離し

March 26 2020

Citrix Workspaceアプリと統合されたCitrix Gatewayプラグインを使してCitrix Virtual Apps and Desktops展開を構成するとVPNに接続しているユーザーにはプラグインのアイコンが表されませんCitrix Gatewayのプラグインアイコンは通常Windowsのシステムトレイまたは Mac OS X Finderのメニューバーにありますこのアイコンはプラグインの設定とコントロールへのインタフェースですWindowsユーザーの場合CitrixWorkspaceアプリと Citrix Gatewayプラグインが統合されている場合Citrix Workspaceアプリの［バージョン情報］ダイアログにCitrix Gatewayプラグインのコントロールが表されますMac OS Xユーザーの場合統合後に使できる Citrix Gatewayプラグインのコントロールはありません

部の統合デプロイメントでは基盤となる機能の統合を維持しながらプラグインのコントロールを公開する必要がある場合がありますこれをうには以下の CLIコマンドまたは Citrix ADC構成ユーティリティータスクを使してVPNクライアントのアイコン統合を切り替えます

コマンドラインを使したアイコン統合の設定

次のコマンドを使します

1 set vpn parameter [-iconWithReceiver (ONOFF)]

構成ユーティリティを使したアイコン統合の設定

Citrix ADC構成ユーティリティを使して次の操作をいます

1［構成］タブでCitrix Gateway gt［グローバル設定］に移動します


Citrix Gateway 130

2 [グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します

3 [詳細設定]をクリックします

4［Citrix Workspaceアプリで VPNプラグインアイコンを表する］を選択します


ICA接続の IPv6の構成

March 26 2020

Citrix Gateway はICA 接続の IPv6 アドレスをサポートしますIPv6 を使した Web Interface またはStoreFrontへの接続はIPv4接続と同じように機能しますユーザーが Citrix GatewayのWebアドレスを使して接続するとCitrix GatewayはWeb Interfaceまたは StoreFrontへの接続をプロキシします

1つの DMZに展開された Citrix Gatewayまたはダブルホップ DMZに展開された Citrix Gatewayに IPv6を構成できます

Citrix Gatewayで IPv6を有効にするにはコマンドラインを使します次のガイドラインを使できます

bull アプライアンスで IPv6を有効にします

bull サブネット IPアドレスを設定します

bull DNS解決の順序を設定します

bull Web Interfaceまたは StoreFrontのWebアドレスを設定します

bull Secure Ticket Authority（STA）を Citrix Gatewayにバインドします

デフォルトではマッピング IPアドレスは IPv6アドレスをサポートしませんユーザー通信を内部ネットワークにルーティングするにはサブネット IPアドレスを作成しサブネット IPアドレスを使するように Citrix Gatewayを設定する必要があります

ネットワーク内に複数の IPv6サブネットを展開する場合はCitrix Gatewayでネットワーク上の各サブネットに対して複数の IPv6サブネット IPアドレスを作成しますネットワークルーティングはサブネット IPアドレスを使して IPv6パケットをそれぞれのサブネットに送信します

ICAプロキシに IPv6を構成するには


1 PuTTYなどのセキュアシェル（SSH）接続を使してCitrix Gatewayにログオンします

2 コマンドプロンプトでns機能を有効にする IPv6PTとしますこれによりIPv6が有効になります


Citrix Gateway 130

3 コマンドプロンプトでnsモードを有効にする USNIPとしますこれによりサブネット IPアドレスの使が可能になります

4 コマンドプロンプトで次のようにしますset dns parameter ndashresolutionOrder AAAA-ThenAQuery AThenAAAAQuery OnlyAAAAQuery OnlyAQuery

5 コマンドプロンプトで「set vpn parameter -wihome httpXD_domainCitrixStoreWeb」とします

ここでltXD_domaingtは StoreFrontのドメイン名または IPアドレスです

たとえばset vpn parameter -wihome httpstorefrontdomaincomCitrixStoreWeb

または

set vpn parameter -wihome http[100020003000]CitrixStoreWeb

IPv6アドレスを使してこのパラメータを構成する場合はIPアドレスを括弧で囲む必要があります


CitrixCitrix Gatewayでの Citrix Workspaceアプリのホームページの構成

March 26 2020

Citrix Workspaceアプリのホームページはグローバルに構成することもセッションプロファイルの部として構成することもできますCitrix Workspace Gateway経由で StoreFrontを認識しないWebおよびそれ以前のバージョンの Citrix Workspaceアプリに Citrix Workspaceアプリを構成する場合は2つのセッションプロファイルを個別に作成する必要がありますCitrix Workspaceアプリのホームページにはユーザーが正常にログオンできるように各プロファイルの正しいWebアドレスが必要です

Citrix Gatewayを介して StoreFrontを認識する Citrix Workspaceアプリの場合Web Citrix Workspaceアプリと Citrix Workspaceアプリでプロファイルを共有できますただしWeb Citrix Workspaceアプリにセッションプロファイルを構成し他のすべての Citrix Workspaceアプリに個別のセッションプロファイルを構成することをお勧めします

Citrix Workspaceアプリのホームページをグローバルに設定するには





Citrix Gateway 130

3［グローバル Citrix Gateway設定］ダイアログボックスで［公開アプリケーション］タブをクリックします

4 Citrix WorkspaceアプリのホームページでCitrix WorkspaceアプリまたはWebホームページの CitrixWorkspaceアプリのWebアドレスをし「OK」をクリックします

セッションプロファイルで Citrix Workspaceアプリのホームページを構成するには



2 詳細ウィンドウの [プロファイル]タブで[追加]をクリックします

3 Citrix Gatewayセッションプロファイルの作成］ダイアログボックスの［公開アプリケーション］タブで［Citrix Receiverのホームページ］の横にある［グローバル上書き］をクリックします

4 Citrix WorkspaceアプリのホームページでCitrix WorkspaceアプリまたはWebホームページの CitrixWorkspaceアプリのWebアドレスをし「作成」をクリックします


ログオンページへの Receiverテーマの適

March 26 2020

構成ユーティリティを使してCitrix Gatewayのログオンページに Receiverテーマを適できますReceiverテーマデフォルトテーマまたは作成したカスタムテーマを切り替えることができますこの機能は以下の CitrixGatewayバージョンで使できます

bull Citrix Gateway 101以降のバージョンです

bull Access Gateway 10ビルド 716014e




3［グローバル Citrix Gateway設定］ダイアログボックスで［クライアントエクスペリエンス］タブをクリックします


Citrix Gateway 130

4 [UIテーマ]の横にある [緑の泡]をクリックし[OK]をクリックします

このコマンドは元のログオンページを Receiverテーマで上書きします注別のテーマを適した後キャッシュされたページが表されないようにブラウザのキャッシュをクリアするようにユーザーに助します


ログオンページのカスタムテーマの作成

March 26 2020

構成ユーティリティを使してCitrix Gatewayのログオンページのカスタムテーマを作成できますデフォルトのテーマを使することもCitrix Workspaceアプリのテーマを使することもできますログオンページにカスタムテーマを適する場合はCitrix Gatewayコマンドラインを使してテーマを作成して展開します次に構成ユーティリティを使してカスタムテーマページを設定します

カスタムテーマページはCitrix Gatewayのグローバル設定を使して構成します

この機能は以下のバージョンの Citrix Gatewayで使できます

bull Citrix Gateway 101

bull Access Gateway 10ビルド 735002e (アプリケーションコントローラーのバージョン 2526または28でこの機能を使するにはビルド 716104eの後にこのビルドをインストールする必要があります)


コマンドラインを使してカスタムテーマを作成して展開する

コマンドラインを使してカスタムテーマを作成して展開するには

1 Citrix Gatewayのコマンドラインにログオンします

2 コマンドプロンプトで shellとします

3 コマンドプロンプトでmkdir varns_gui_custom cd netscaler tar -cvzf varns_gui_customcustomthemetargzns_guiとします

4 構成ユーティリティを使してカスタムテーマに切り替えvarns_gui_customns_guivpnでカスタマイズを変更します次の操作を実できます

bull cssctxauthenticationcssファイルを編集します

bull カスタムロゴを varns_gui_customns_guivpnメディアフォルダにコピーします注 WinSCPを使してファイルを転送できます


Citrix Gateway 130

5 複数の Citrix Gatewayアプライアンスがある場合はすべてのアプライアンスに対して順 3と 4を繰り返します


ユーザーポータルのカスタマイズ

March 26 2020

VPNユーザーにポータルを提供する Citrix Gatewayのインストールにはポータルのテーマを選択してポータルページの外観をカスタマイズするオプションがあります意されているテーマのセットから選択するかテーマをテンプレートとして使してカスタマイズまたはブランド化されたポータルを構築できます構成ユーティリティーを使して新しいロゴ背景画像カスタムボックスラベルおよび CSSベースのポータルデザインのさまざまな属性を追加することでテーマを変更できます組み込みのポータルテーマには英語フランス語スペイン語ドイツ語本語の 5つの語のコンテンツが含まれますWebブラウザによって報告されるロケールに応じて異なるユーザーが異なる語で提供されます

VPNユーザがサインインを許可する前に VPNユーザに提されるカスタムのエンドユーザー使許諾契約（EULA）を作成するオプションがありますEULA機能はロケール固有のバージョンの EULAをサポートしますEULAはWebブラウザで報告されたロケールに基づいてユーザに提されます

ポータルテーマと EULA構成の両はVPN仮想サーバーおよび VPNグローバルレベルで個別にバインドできます

重要 Citrixではコードの変更が必要なカスタマイズはサポートされておらずデフォルトのテーマに戻す以外の問題を解決するためのサポートも提供していません

ポータルテーマの適

デフォルトではVPNポータルは Caxtonテーマを使するように構成されていますCaxtonテーマの名前はDefaultです

Caxton Theme

Citrix Gatewayにはポータルに適できる 2つのテーマがありますグリーンバブルと X1のテーマです


Citrix Gateway 130

Greenbubble Theme

X1 Theme

提供されたテーマはVPN仮想サーバに直接適することもグローバル VPNバインディングとして適することもできます

VPN仮想サーバーへのポータルテーマのバインド

ポータルテーマは既存の仮想サーバー上または新しい仮想サーバーの作成時にバインドできます

コマンドラインを使してポータルテーマを既存の VPN仮想サーバーにバインドする

コマンドプロンプトで「」とします

1 bind vpn vserver ltnamegt - portaltheme ltnamegt

構成ユーティリティーを使したポータルテーマの既存の VPN仮想サーバーへのバインド

1［構成］タブで［Citrix Gateway］に移動し［仮想サーバー］をクリックします2 仮想サーバーを選択し[編集]をクリックします3 ポータルテーマがまだ仮想サーバーにバインドされていない場合は詳細ペインの [詳細設定]の [ポータルテーマ]をクリックしますそれ以外の場合[ポータルのテーマ]オプションは詳細ペインで既に展開されています

4 詳細ペインの [ポータルテーマ]で[ポータルテーマなし]をクリックして [ポータルテーマバインディング]ウィンドウを展開します

5 [クリックして選択]をクリックします6 [ポータルテーマ]ウィンドウでテーマ名をクリックし[選択]をクリックします7［バインド］をクリックします8［完了］をクリックします

VPN仮想サーバーを作成する場合はVPN仮想サーバーの編集ペインで上記の順 3から開始してポータルのテーマをバインドできます

VPNグローバルへのポータルテーマのバインド

コマンドラインを使したポータルテーマの VPNグローバルスコープへのバインド



Citrix Gateway 130

1 bind vpn global portaltheme ltnamegt

構成ユーティリティーを使したポータルテーマの VPNグローバルスコープへのバインド

1［構成］タブで［Citrix Gatewayに移動します2 メインの詳細ペインで［Citrix Gatewayポリシーマネージャー］をクリックします3「+」アイコンをクリックします4「バインドポイント」リストで「リソース」を選択します5「接続タイプ」リストで「ポータルテーマ」を選択します6［続］をクリックします7「バインドポイント」画で「バインドの追加」をクリックします8 [クリックして選択]をクリックします9 [ポータルテーマ]ウィンドウでテーマ名をクリックし[選択]をクリックします

10［バインド］をクリックします11［閉じる］をクリックします12 [完了]をクリックします

ヒント連の変更が完了したらコマンドラインで「save ns config」コマンドを使するか構成ユーティリティの保存アイコンをクリックして変更内容が Citrix ADC構成ファイルに保存されます

ポータルテーマの作成

カスタムポータルデザインを作成するには提供されているポータルテーマの 1つをテンプレートとして使します選択したテンプレートテーマのコピーが指定した名前で作成されます

在庫ポータルテーマのカスタムポータルテーマのテンプレートとしての使

ポータルテーマを作成するには構成ユーティリティーまたはコマンドラインを使してテーマエンティティーを作成しますただし詳細なカスタマイズコントロールは構成ユーティリティ内でのみ使できます

コマンドラインを使したポータルテーマの作成


1 add portaltheme ltnamegt basetheme ltnamegt


Citrix Gateway 130

構成ユーティリティーを使したポータルテーマの作成

1［構成］タブで［Citrix Gateway］に移動し［ポータルのテーマ］をクリックします2 メインの詳細ウィンドウで[追加]をクリックします3 テーマの名前をしテンプレートリストからテンプレートを選択し[ OK]をクリックします4 この時点でポータルテーマ編集ウィンドウの初回ビューが表されます［OK］をクリックして終了します

最初のビューを使して新しいポータルテーマのカスタマイズに進むことができますただしポータルテーマの編集を続する前にインターフェースに関する次のポータルテーマのカスタマイズセクションおよびインターフェース内のカスタマイズ可能なポータル属性のポップアップの説明をお読みください

新しいテーマが作成されたらVPN仮想サーバーへのポータルテーマのバインドまたはVPNグローバルへのポータルテーマのバインドの説明に従ってバインドできます新しいテーマは作成後またはカスタマイズ完了後すぐにバインドできます

ポータルテーマのカスタマイズ

ポータルテーマをカスタマイズするには構成ユーティリティーのポータルテーマインターフェースを使します最良の結果を得るにはこのインタフェースを使する前にこのインタフェースのさまざまな要素を理解しておく必要があります

ポータルテーマインタフェースについて

Citrix Gateway構成ユーティリティでポータルのテーマインターフェイスを開くには［構成］タブで［CitrixGateway］に移動し［ポータルのテーマ］をクリックします「ポータルテーマの作成」の説明に従ってテーマを作成するかメインの詳細ペインで既存のテーマを選択して「編集」をクリックします

ポータルテーマのカスタマイズページにはポータルデザインを変更するための 4つの主要なコンポーネントペインがあります「ポータルテーマ」ペイン「ルックアンドフィール」ペイン「詳細設定」ペインおよび「語」ペインです

ポータルテーマインタフェース

ページ上部の「ポータルテーマ」ペインには編集にロードされたテーマとそれが基づいているテンプレートテーマがされますここでの表オプションを使するとユーザー接続で VPNにアクセスすることなくカスタマイズ内容を表できます表オプションを使するにはテーマを VPN仮想サーバにバインドする必要がありますバインディングは表ウィンドウを閉じた後も有効です

ページの中央にある [ルックampフィール]ペインでヘッダー背景と画像フォントのプロパティロゴなどテーマの全般プロパティを構成しますこのペインが編集モードの場合属性凡例を使してポータルページでLook amp Feel属性が使される場所に関するガイダンスを使できます


Citrix Gateway 130

[詳細設定]ペインには個々のポータルページの画上のコンテンツコントロールが表されます編集にページのコンテンツを読み込むには覧表されているページの 1つをクリックしますページコントロールは他の中央のペインの下に表されますページが変更されていない限りポータルテーマの編集をっても[詳細設定]ペインでページが折りたたまれたままになります

[語]ペインでは[詳細設定]ペインで編集対象のページを選択したときにロードする語を選択できますデフォルトでは英語のページが読み込まれます

カスタマイズ可能なページ属性のタイプ

ポータルテーマをカスタマイズする場合ポータルテーマインタフェースで属性の範囲を変更できます編集可能なテキストとサポートされている語に加えてポータルのレイアウトのすべてのグラフィック要素をニーズに合わせて調整できます各ページ要素タイプには変更する前に考慮すべきパラメータまたは推奨事項があります

ポータルデザインではページの背景ハイライトタイトルと本コンテンツのテキストボタンコントロールホバー応答などの属性のを指定しますカラー属性をカスタマイズするには選択した項のカラー値を直接するか付属のカラーピッカーを使してカラー値を成しますこのインターフェイスでは有効なHTMLカラー値を RGBA形式HTMLの 16進数トリプレット形式および X11カラー名でできますカラーピッカーはアトリビュートのフィールドの横にあるカラーボックスをクリックすることで適可能なカラーアトリビュートに対してアクセスできます

カラーピッカー

フォント

フォントのに加えて部のページ属性のフォントサイズを変更できますこれらの属性ごとにポータルの設計によって決定される各属性で使できるサイズがメニューに表されます

画像

画像の場合各コントロールで使できるポップアップの説明に推奨サイズやその他の要件が表されます説明はページ上の属性の場所とその機能によって異なりますPNGまたは JPEGイメージファイル形式を使できますアップロードするイメージを選択するにはアイテムのファイル名の下にあるチェックボックスをオンにしローカルコンピュータのドライブ上のイメージがある場所を参照します

ラベル

[詳細設定]セクションで変更する特定のポータルページのテキストを選択できますページの既定の英語のテキストを変更しても他の語のテキストは再翻訳されません代替語のページコンテンツは利便性のために提供されていますがカスタマイズについては動で更新する必要がありますページの別の語バージョンを編集するには開いているポータルページの [ X ]アイコンをクリックしてウィンドウが開いている場合はまずウィンドウを折りたたみます次に[語]ペインで語を選択し[ OK ]をクリックします[詳細設定]ウィンドウから開いたすべてのポータルページは別のページを選択するまでその語で表されます


Citrix Gateway 130

重要

可性またはクラスター化されたデプロイメントではポータルのテーマが共有構成全体に分散されるのはプライマリまたは構成コーディネータの Citrix ADCエンティティでそれぞれポータルのテーマが設定されている場合のみです

古いポータルのカスタマイズに関する注意事項

Citrix Gatewayまたは Access Gatewayリリース 110より前のリリースで作成されたカスタムポータル設計を動で変更したインストールの場合はカスタマイズインターフェイスで新しいポータルテーマから開始することを強くお勧めしますカスタマイズができない場合は動でカスタマイズを適できますがその直接サポートは提供されません

動でカスタマイズしたポータルを使する場合はカスタマイズしたポータルをグローバルポータル構成として設定する必要がありますただしそうすると適されたグローバルポータル構成を VPN仮想サーバーレベルのポータルテーマのバインドで上書きすることはできませんこの場合設定ユーティリティまたはコマンドラインを使して VPN仮想サーババインディングを作成しようとするとエラーが返されます

また可性とクラスタ構成の場合はCitrix ADCファイルシステムの基盤となるファイルが動的に共有される構成で配布されないため展開内のすべてのノードで動でカスタマイズをう必要があります

カスタムポータル構成の動作成

Citrix Gateway 110へのアップグレード後にカスタマイズされた古いポータル構成を動で適するには既存のポータルページのコピーを変更しカスタマイズされたポータルファイルを Citrix ADCファイルシステムに配置しUITHEMEパラメーターとしてカスタムを選択する必要があります

WinSCPまたはその他のセキュアコピープログラムを使してCitrix ADCファイルシステムにファイルを転送できます

1 Citrix Gatewayのコマンドラインにログオンします2 コマンドプロンプトで shellとします3 コマンドプロンプトでmkdir varns_gui_custom cd ネットスケーラ tar-cvzf varns_gui_カスタムカスタムテーマtargz ns_guiとします

4 コマンドプロンプトでcd varnetscalerログオンテーマとしますbull グリーンバブルテーマをカスタマイズする場合は「cp-rグリーンバブルカスタム」としてグリーンバブルテーマのコピーを作成します

bull 既定のテーマ (Caxton)をカスタマイズする場合はcp-r既定のカスタムとしますbull X1テーマをカスタマイズするには「cp-r X1カスタム」とします

5 varnetscalerlogonthemesCustomの下にコピーされたファイルに必要な変更を加えテーマを動でカスタマイズします

bull cssbasecssに必要な編集をいます


Citrix Gateway 130

bull カスタムイメージを varns_gui_customns_guivpnメディアディレクトリにコピーしますbull resourcesディレクトリにあるファイルのラベルを変更しますこれらのファイルはポータルでサポートされているロケールに対応しています

bull HTMLページまたは javascriptファイルに対する変更も必要な場合はvarns_gui_customns_gui内のファイルに関連するようにできます

6 カスタマイズの変更がすべて完了したらプロンプトに次のようにしますtar mdashcvzfvarns_gui_customcustomthemetargz varns_gui_customns_gui

重要

前述の順でテーマディレクトリをコピーする場合はCitrix ADCシェルインターフェイス内でディレクトリ名の字と字が区別されるためコピーしたフォルダ名を「カスタム」と正確にする必要がありますディレクトリ名が正確にされていない場合UITHEME設定が CUSTOMに設定されている場合フォルダは認識されません

カスタマイズしたテーマを VPNグローバルパラメータとして選択

動でカスタマイズしたポータル構成が完了しCitrix ADCファイルシステムにコピーしたらその構成を CitrixGateway構成に適する必要がありますこれはUITHEMEパラメータを CUSTOMに設定することによって実されコマンドラインまたは構成ユーティリティを使して完了できます

コマンドラインを使するには次のコマンドをして UITHEMEパラメータを設定します

1 set vpn parameter UITHEME CUSTOM

構成ユーティリティーを使して UITHEMEパラメーターを設定するには以下の順に従います

1［構成］タブでCitrix Gateway gt［グローバル設定］に移動します2 [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブをクリックします4 画の下部までスクロールし[ UIテーマ]リストメニューから [カスタム]を選択します5［OK］をクリックします

これで動でカスタマイズしたポータルが VPNユーザーに提供されるポータル設計になりました

使許諾契約書の作成

VPNポータルシステムはポータル構成にエンドユーザーライセンス契約 (EULA)を適するオプションを提供しますEULAが VPNグローバルスコープまたは関連する VPN仮想サーバーのいずれかで Citrix Gateway構成にバインドされるとVPNユーザーは VPNへの認証を許可する前に利規約として EULAに同意する必要があります

ポータルテーマと同様にユーザーはWebブラウザーから報告されたロケールに基づいて語固有の EULAを提供しますサポートされているどの語にも致しないロケールの場合デフォルトの語は英語ですEULAご


Citrix Gateway 130

とにサポートされている各語でカスタムメッセージをできますEULA構成ではポータルテーマの場合と同様に事前に翻訳されたコンテンツは提供されませんユーザーの報告されたロケールがEULAコンテンツがされていない語と致する場合VPNログインページの [利規約]リンクをクリックすると空のページが返されます

EULAを作成するにはCitrixGatewaygtグローバル設定gtEULAまたは CitrixGatewaygtリソースgtEULAの［構成］タブで構成ユーティリティーのいずれかのコントロールを使します[ Global Settings]ペインのコントロールは VPNグローバル EULAバインディングを管理するために使され[Resources] gt [EULA ]ノードのコントロールは EULA設定の般的な操作に使されますVPN仮想サーバーの EULAバインディングを管理するには［Citrix Gateway］gt［仮想サーバー］で VPN仮想サーバーを編集します部のコマンドはEULAエンティティを管理するためのコマンドラインでも使できますただし完全な EULA管理コントロールは構成ユーティリティでのみ使できます

コマンドラインを使した EULAエンティティの作成


1 add vpn eula ltnamegt

構成ユーティリティを使した EULAエンティティの作成

1 Citrix Gateway gt［リソース］gt［EULA］に移動します2「追加」(Add )をクリックしてエンティティを作成します3 エンティティの名前をします4 各語について関連するタブの下にコンテンツを貼り付けますテキスト形式または HTMLタグを使して改を追加するltbrgtタグなどコンテンツの書式を設定できます


EULAエンティティが作成されるとそのエンティティは VPN設定にグローバルにバインドすることもVPN仮想サーバーにバインドすることもできます

コマンドラインを使して EULAを VPNグローバルにバインドする


1 bind vpn global eula ltnamegt

設定ユーティリティを使したグローバル EULA VPNバインディングの作成



Citrix Gateway 130

2 メインの詳細ペインで[使許諾契約書の設定]をクリックします3 [バインドを追加]をクリックします4 [クリックして選択]をクリックします5 EULAエンティティを選択し[選択]をクリックします6［バインド］をクリックします7［閉じる］をクリックします

コマンドラインを使して EULAを VPN仮想サーバーにバインドする


1 bind vpn vserver ltnamegt eula ltnamegt

設定ユーティリティを使した EULAを VPN仮想サーバにバインドする

1［構成］タブでCitrix Gateway gt［仮想サーバー］の順に選択します2 メインの詳細ペインでVPN仮想サーバーを選択し[ Edit]をクリックします3 ページの右側の [詳細設定]ペインで[ EULA ]をクリックします4 新しく追加された EULAペインで[ EULAなし]をクリックします5 [クリックして選択]をクリックします6 EULAエンティティを選択し[選択]をクリックします7［バインド］をクリックします8［完了］をクリックします


クライアントレスアクセスの設定

March 26 2020

クライアントレスアクセスによりユーザーは Citrix Gatewayプラグインや Receiverなどのユーザーソフトウェアをインストールしなくても必要なアクセスが可能になりますユーザーはWebブラウザを使してOutlookWeb AccessなどのWebアプリケーションに接続できます

クライアントレスアクセスを設定する順は次のとおりです

bull グローバルにまたはユーザグループまたは仮想サーバにバインドされたセッションポリシーを使してクライアントレスアクセスを有効にします

bull Webアドレスのエンコード式の選択


Citrix Gateway 130

特定の仮想サーバに対してのみクライアントレスアクセスを有効にするにはクライアントレスアクセスをグローバルに無効にしそれを有効にするセッションポリシーを作成します

Citrix Gatewayウィザードを使してアプライアンスを構成する場合はウィザード内でクライアントレスアクセスを構成できますウィザードの設定はグローバルに適されますCitrix Gatewayウィザードでは次のクライアント接続法を構成できます

bull Citrix GatewayプラグインユーザーはCitrix Gatewayプラグインを使してのみログオンできますbull Citrix Gatewayプラグインを使しアクセスシナリオのフォールバックを許可しますユーザーはCitrix

Gatewayプラグインを使して Citrixゲートウェイにログオンしますユーザーデバイスがエンドポイント分析スキャンに失敗した場合ユーザーはクライアントレスアクセスを使してログオンできますこの場合ユーザーはネットワークリソースへのアクセスが制限されます

bull ユーザーがWebブラウザとクライアントレスアクセスを使してログオンできるようにしますユーザーはクライアントレスアクセスを使してのみログオンできネットワークリソースへのアクセスが制限されます


クライアントレスアクセスの有効化

March 26 2020

グローバルレベルでクライアントレスアクセスを有効にするとすべてのユーザがクライアントレスアクセスの設定を受け取りますCitrix Gatewayウィザードグローバルポリシーまたはセッションポリシーを使してクライアントレスアクセスを有効にできます

グローバル設定またはセッションプロファイルではクライアントレスアクセスには次の設定があります

bull Onクライアントレスアクセスを有効にしますクライアントの選択を無効にしStoreFrontまたはWebInterfaceを構成または無効にしない場合ユーザーはクライアントレスアクセスを使してログオンします

bull Allow デフォルトではクライアントレスアクセスは有効になっていませんクライアントの選択を無効にしStoreFrontまたはWeb Interfaceを構成または無効にしない場合ユーザーは Citrix Gatewayプラグインを使してログオンしますユーザーのログオン時にエンドポイントの分析が失敗するとクライアントレスアクセスが可能な選択肢ページが表されます

bull Off クライアントレスアクセスはオフになっていますこの設定を選択するとユーザーはクライアントレスアクセスを使してログオンできずクライアントレスアクセスのアイコンが選択肢ページに表されません

注コマンドラインインターフェイスを使してクライアントレスアクセスを設定する場合オプションは ONOFFまたは Disabledです

Citrix Gatewayウィザードを使してクライアントレスアクセスを有効にしなかった場合はグローバルにまたは構成ユーティリティを使してセッションポリシーで有効にすることができます


Citrix Gateway 130

クライアントレスアクセスをグローバルに有効にするには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にある [ON]を選択し[OK]をクリックします

セッションポリシーを使してクライアントレスアクセスを有効にするには

選択したユーザグループまたは仮想サーバだけにクライアントレスアクセスを使する場合はクライアントレスアクセスをグローバルに無効にするかオフにします次にセッションポリシーを使してクライアントレスアクセスを有効にしユーザグループまたは仮想サーバにバインドします


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします



クライアントレスアクセスを有効にするセッションポリシーを作成したらユーザグループまたは仮想サーバにバインドします


Webアドレスのエンコーディング

March 26 2020

クライアントレスアクセスを有効にすると内部Webアプリケーションのアドレスをエンコードするかアドレスをクリアテキストのままにするかを選択できます設定は次のとおりです

bull わかりにくいこれは標準のエンコーディングメカニズムを使してリソースのドメインとプロトコル部分を隠します


Citrix Gateway 130

bull クリアWebアドレスはエンコードされずユーザーに表されますbull 暗号化ドメインとプロトコルはセッションキーを使して暗号化されますWebアドレスが暗号化されている場合同じWebリソースのユーザセッションごとにURLが異なりますユーザーがエンコードされたWebアドレスをブックマークしWebブラウザに保存してからログオフするとユーザーがログオンしてブックマークを使してWebアドレスに再度接続しようとするとWebアドレスに接続できなくなります注ユーザーがセッション中に暗号化されたブックマークをアクセスインターフェイスに保存するとユーザーがログオンするたびにブックマークが機能します

この設定はグローバルに構成することもセッションポリシーの部として構成することもできますセッションポリシーの部としてエンコーディングを構成する場合はユーザーグループまたは仮想サーバーにバインドできます

Webアドレスのエンコーディングをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセス URLエンコーディング]の横のエンコードレベルを選択し[OK]をクリックします

セッションポリシーを作成してWebアドレスエンコーディングを設定するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセス URLエンコーディング]の横にある [グローバル上書き]をクリックしエンコードレベルを選択して [OK]をクリックします



クライアントレスアクセスポリシーのしくみ

March 26 2020


Citrix Gateway 130

Webアプリケーションへのクライアントレスアクセスを設定するにはポリシーを作成しますクライアントレスアクセスポリシーの設定は設定ユーティリティで設定できますクライアントレスアクセスポリシーは規則とプロファイルで構成されますCitrix Gatewayに付属する構成済みのクライアントレスアクセスポリシーを使できます独のカスタムクライアントレスアクセスポリシーを作成することもできます

Citrix Gatewayには以下のポリシーが事前に構成されています

bull Outlook Web Accessと Outlook Web Appbull SharePointのユーザーbull その他すべてのWebアプリケーション

事前設定されたクライアントレスアクセスポリシーの次の特性に注意してください

bull これらは動的に設定され変更することはできませんbull 各ポリシーはグローバルレベルでバインドされますbull クライアントレスアクセスをグローバルに有効にするかセッションポリシーを作成しない限り各ポリシーは適されません

bull クライアントレスアクセスを有効にしていない場合でもグローバルバインディングを削除または変更することはできません

他のWebアプリケーションのサポートはCitrix Gatewayで構成するリライトポリシーのレベルによって異なります作成したカスタムポリシーをテストしてアプリケーションのすべてのコンポーネントが正常に書き換えられるようにすることをお勧めします

Receiver for AndroidReceiver for iOSまたはWorxHomeからの接続を許可する場合はクライアントレスアクセスを有効にする必要がありますiOSデバイスで実されるWorxHomeの場合はセッションプロファイル内で Secure Browseも有効にする必要がありますSecure Browseとクライアントレスアクセスが連携してiOSデバイスからの接続を許可しますユーザーが iOSデバイスに接続していない場合Secure Browseを有効にする必要はありません

クイック構成ウィザードではモバイルデバイスの正しいクライアントレスアクセスポリシーと設定を設定しますクイック構成ウィザードを実してStoreFrontおよび Citrix Endpoint Managementへの接続に適切なポリシーを構成することをお勧めします

カスタムクライアントレスアクセスポリシーはグローバルにバインドすることも仮想サーバにバインドすることもできますクライアントレスアクセスポリシーを仮想サーバにバインドする場合は新しいカスタムポリシーを作成してからバインドする必要がありますクライアントレスアクセスにグローバルまたは仮想サーバに対して異なるポリシーを適するにはカスタムポリシーのプライオリティ番号を変更して事前設定されたポリシーよりもさい番号にしますこれによりカスタムポリシーのプライオリティがくなります仮想サーバに他のクライアントレスアクセスポリシーがバインドされていない場合は事前に設定されたグローバルポリシーが優先されます

注事前設定されたクライアントレスアクセスポリシーのプライオリティ番号は変更できません



Citrix Gateway 130

新しいクライアントレスアクセスポリシーの作成

March 26 2020

デフォルトのクライアントレスアクセスポリシーと同じ設定を使しポリシーを仮想サーバにバインドする場合はポリシーの新しい名前を指定してデフォルトポリシーをコピーできます設定ユーティリティを使してデフォルトのポリシーをコピーできます

新しいポリシーを仮想サーバーにバインドした後ユーザーがログオンしたときにポリシーが最初に実されるようにポリシーの優先順位を設定できます

デフォルト設定を使して新しいクライアントレスアクセスポリシーを作成するには

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［クライアントレスアクセス］をクリックします

2 詳細ウィンドウの [ポリシー]タブで既定のポリシーをクリックし[追加]をクリックします3 [名前]にポリシーの新しい名前をし[作成][閉じる]の順にクリックします

クライアントレスアクセスポリシーを仮想サーバにバインドするには

新しいポリシーを作成したら仮想サーバにバインドします


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［ポリシー］タブをクリックし［クライアントレス］をクリックします

4 [ポリシーの挿]をクリックし覧からポリシーを選択して [OK]をクリックします

クライアントレスアクセスポリシー式の作成と評価

クライアントレスアクセスの新しいポリシーを作成する場合ポリシーの独の式を作成できますエクスプレッションの作成が完了したらエクスプレッションの精度を評価できます


2 詳細ウィンドウの [ポリシー]タブで既定のポリシーをクリックし[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイル]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします


Citrix Gateway 130

6 書き換え設定を構成し[作成]をクリックします7 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [式]で[追加]をクリックします8 [式の追加]ダイアログボックスで式を作成し[OK]をクリックします9 [クライアントレスアクセスポリシーの作成]ダイアログボックスで[評価]をクリックし式が正しいとテストされた場合は[作成]をクリックします


Citrix Gatewayを使した度なクライアントレス VPNアクセス

March 26 2020

クライアントレス VPN（CVPN）はクライアントマシンで VPNクライアントアプリケーションを使せずにCitrix Gatewayを介して企業のイントラネットリソースにリモートアクセスを提供する法を認識しますCVPNはクライアント側でWebブラウザを使して企業のWebアプリケーションポータルおよびその他のリソースへのリモートアクセスを提供します度な CVPNソリューションはCVPNに関する次の制限を排除します

bull 相対 URLは時々識別できません

bull 動的に成された相対 URLは識別できません

度なクライアントレス VPNは絶対 URLとホスト名を識別しHTTP応答Webページに存在する相対 URLを書き換える代わりに新しい意の法でそれらを書き換えますSharePointではURLの書き換えに既定のフォルダを使する必要がなくなりカスタム SharePointアクセスがサポートされます

前提条件

次に拡張 CVPNを設定するための前提条件をします

1 ワイルドカードサーバ証明書 -VPN仮想サーバにはワイルドカードサーバ証明書が必要ですサーバーがでhttpsvpncomホストされている場合サーバー証明書には証明書 CNまたは SANの部として (vpncomおよびvpncom )のエントリが含まれている必要があります (ここでCN =共通名SAN=Subject代替名)この証明書をバインドするプロセスはCitrix Gatewayでも変わりません

2 ワイルドカードDNSエントリ -sクライアント (Webブラウザ)は度な CVPNアプリケーションの FQDNを解決する必要がありますCitrix Gatewayサーバーのセットアップ中にvpncomを解決する DNSエントリを構成していましたrsquovpncomrsquoもvpncomに解決されるようにrsquovpncomrsquoのサブドメインを設定する必要があります


Citrix Gateway 130

度なクライアントレス VPNアクセスの設定

コマンドラインインターフェイスを使して度なクライアントレス VPNアクセスを設定するにはコマンドプロンプトで次のようにします

1 set vpn parameter -clientlessVpnMode ON2 set vpn parameter -advancedClientlessVpnMode ENABLED

セッションアクションが仮想サーバにバインドされている場合はそのセッションアクションに対して [AdvancedClientless VPN Mode]オプションも有効にする必要があります

例

1 set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED

Citrix ADC GUIを使して度なクライアントレス VPNアクセスを設定するには

1 NetScalerの GUIで「構成」gt「Citrix NetScalergt「グローバル設定」の順に選択します

2 [グローバル設定]ページで[グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します

3 [クライアントエクスペリエンス]タブの [クライアントレスアクセス]リストから [オン]をクリックします

4 [クライアントエクスペリエンス]タブの [度なクライアントレス VPNモード]リストから [有効]をクリックします

注

bull セッションアクションが仮想サーバーにバインドされている場合は［Citrix Gatewayセッションプロファイルの設定］ページの［クライアントエクスペリエンス］タブでもそのセッションアクションの［クライアントレス VPNモードの詳細設定］オプションを有効にする必要があります

bull [グローバルをオーバーライド]オプションを選択するとグローバル設定をオーバーライドできます

Advanced CVPN機能はセッションレベルでも設定できます

警告

度な CVPNはエンタープライズWebアプリケーションへのアクセスを提供することを的としていますこのようなアプリには必要なすべての種類のリソース（JavaScriptCSS画像など）に対して FQDNが 1つしかありません内部アプリケーションの完全な FQDNを単オクテット（cvpn）にエンコードするのでサブドメインの関係を失いますその結果エンタープライズWebAppが CORSで設定されるたびにAdvanced CVPN経由でアクセスする際に問題が発することがあります


Citrix Gateway 130


ユーザーのドメインアクセスの構成

March 26 2020

ユーザがクライアントレスアクセスを使して接続する場合ユーザがアクセスを許可するネットワークリソースドメインおよびWebサイトを制限できますCitrix Gatewayウィザードまたはグローバル設定を使してドメインへのアクセスを含めたり除外したりするためのリストを作成できます

すべてのネットワークリソースドメインおよびWebサイトへのアクセスを許可してから除外リストを作成できます除外リストにはユーザーがアクセスできない特定のリソースのセットが記載されていますユーザーは除外リストに含まれているドメインにアクセスできません

またすべてのネットワークリソースドメインおよびWebサイトへのアクセスを拒否し特定の包含リストを作成することもできます包含リストにはユーザーがアクセスできるリソースが挙げられますユーザーはリストに表されていないドメインにアクセスできません

注Citrix Endpoint Managementまたは StoreFrontのクライアントレスアクセスポリシーを構成しユーザーが Receiver for Webに接続する場合Receiver for Webがアクセスできるドメインを許可する必要がありますこれはCitrix Gatewayが StoreFrontおよび Endpoint Managementネットワークトラフィックを書き換えるために必要です

Citrix Gatewayウィザードを使してドメインアクセスを構成するには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3 [次へ]をクリックしウィザードの指に従って[クライアントレスアクセスの設定]ページを表します4 [クライアントレスアクセスのドメインの設定]をクリックし次のいずれかの操作をいます

bull 除外するドメインの覧を作成するには[除外するドメイン]をクリックしますbull 含まれるドメインの覧を作成するには[ドメインの許可]をクリックします

5 [ドメイン名]にドメイン名をし[追加]をクリックします6 覧に追加するドメインごとに順 5を繰り返し終了したら [OK]をクリックします7 Citrix Gatewayウィザードを使してアプライアンスの構成を続します

構成ユーティリティを使してドメイン設定を構成するには

構成ユーティリティのグローバル設定を使してドメイン覧を作成または変更することもできます


Citrix Gateway 130


2 詳細ペインの [クライアントレスアクセス]で[クライアントレスアクセスのドメインの構成]をクリックします

3 次のいずれかをいますbull 除外するドメインの覧を作成するには[除外するドメイン]をクリックしますbull 含まれるドメインの覧を作成するには[ドメインの許可]をクリックします

4 [ドメイン名]にドメイン名をし[追加]をクリックします5 リストに追加するドメインごとに順 4を繰り返し終了したら [OK]をクリックします


クライアントレスアクセスの構成

March 26 2020

Citrix Gatewayでは1つまたは複数の SharePoint 2003または SharePoint 2007または SharePoint 2013サイトのコンテンツを書き換えることができますこれによりユーザーは Citrix Gatewayプラグインを使せずにコンテンツを利できるようになります書き換えプロセスを正常に完了するにはネットワーク内の各SharePointサーバーのホスト名を使して Citrix Gatewayを構成する必要があります

Citrix Gatewayウィザードまたは構成ユーティリティを使してSharePointサイトのホスト名を構成できます

Citrix Gatewayウィザードでウィザード内を移動して設定を構成します[クライアントレスアクセスの構成]ページが表されたらSharePointサイトのWebアドレスをし[追加]をクリックします

Citrix Gatewayウィザードの実後に初めてWebサイトを追加したりSharePointを構成したりするには構成ユーティリティを使します

Citrix ADC GUIを使して SharePointのクライアントレスアクセスを構成するには

1 Citrix Gateway gt［グローバル設定］に移動します2 詳細ウィンドウの [クライアントレスアクセス]で[ SharePointのクライアントレスアクセスの構成]をクリックします

3 [SharePointのクライアントレスアクセス]の [SharePointサーバーのホスト名]に SharePointサイトのホスト名をし[追加]をクリックします

4 リストに追加する SharePointサイトごとに順 3を繰り返し終了したら [ OK ]をクリックします



Citrix Gateway 130

SharePointサイトをホームページとして設定する

March 26 2020

SharePoint サイトをユーザーのホームページとして設定する場合はセッションプロファイルを構成しSharePointサイトのホスト名をします

SharePointサイトをホームページとして構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[ホームページ]の横にある [グローバルに上書き]をクリックし

SharePointサイトの名前をします7 [クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします


セッションポリシーを完了したらユーザーグループ仮想サーバーまたはグローバルにバインドしますユーザーがログオンするとSharePoint Webサイトがホームページとして表されます


SharePoint 2007サーバーの名前解決を有効にする

March 26 2020

SharePoint 2007サーバーは応答の部として構成されたサーバー名をさまざまな URL内のホスト名として送信します構成済みの SharePointサーバー名が完全修飾ドメイン名 (FQDN)でない場合Citrix GatewayはSharePointサーバー名を使して IPアドレスを解決できず部のユーザー機能がタイムアウトしrdquoHTTP 11Gatewayのタイムアウトrdquoというエラーメッセージが表されるこれらの機能にはファイルのチェックインとチェックアウトWorkspace表およびユーザーがクライアントレスアクセスを使してログオンしているときの複数のファイルのアップロードなどがあります

この問題を解決するには次のいずれかをお試しください


Citrix Gateway 130

bull 名前解決の前に SharePointのホスト名が FQDNに変換されるようにCitrix Gatewayで DNSサフィックスを構成します

bull すべての SharePointサーバー名に対してCitrix Gatewayでローカル DNSエントリを構成しますbull FQDNを使するすべての SharePointサーバー名を変更しますたとえばSharePointintranetドメインではなく

DNSサフィックスを構成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[DNS]を展開し[DNSサフィックス]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [DNSサフィックス]でイントラネットドメイン名をサフィックスとしてし[作成][閉じる]の順にクリックします

追加するドメインごとにステップ 3を繰り返すことができます

Citrix Gateway上のすべての SharePointサーバー名に対してローカルDNSレコードを構成するには

1 構成ユーティリティのナビゲーションウィンドウで[DNS] gt [レコード]を展開し[アドレスレコード]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ホスト名]にDNSアドレスレコードの SharePointホスト名をします4 [IPアドレス]に SharePointサーバーの IPアドレスをし[追加][作成][閉じる]の順にクリックします

Aレコードを追加するホスト名にはCNAMEレコードがあってはなりませんまたアプライアンス上に重複するAレコードが存在することもできません


クライアントレスアクセスパーシステント Cookieの有効化

March 26 2020

パーシステント CookieはSharePointサーバーでホストされているMicrosoft WordExcelPowerPointドキュメントを開いたり編集したりするなどSharePointの特定の機能にアクセスするために必要です

永続的なクッキーはユーザーデバイスに残りHTTPリクエストごとに送信されますCitrix Gatewayは永続的なCookieをユーザーデバイス上のプラグインに送信する前に暗号化しセッションが存在する限り定期的に Cookieを更新しますセッションが終了するとクッキーは古くなります


Citrix Gateway 130

Citrix Gatewayウィザードでは管理者は永続的な Cookieをグローバルに有効にできますセッションポリシーを作成してユーザーグループまたは仮想サーバーごとに永続的な Cookieを有効にすることもできます

パーシステント Cookieでは次のオプションを使できます

bull [許可]は永続的な Cookieを有効にしユーザーは SharePointに保存されているMicrosoftドキュメントを開いて編集できます

bull [拒否]は永続的な Cookieを無効にしユーザーが SharePointに保存されているMicrosoftドキュメントを開いて編集することはできません

bull Promptはセッション中に永続的な Cookieを許可または拒否するようユーザに要求します

ユーザーが SharePointに接続しない場合クライアントレスアクセスには永続的な Cookieは必要ありません


SharePointのクライアントレスアクセスの永続的な Cookieの構成

March 26 2020

SharePointのクライアントレスアクセスの永続的な Cookieはグローバルにまたはセッションポリシーの部として構成できます

永続的な Cookieをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセスパーシステント Cookie]の横にあるオプションを選択し[OK]をクリックします

セッションポリシーの部として永続的な Cookieを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセスパーシステント Cookie]の横にある

[グローバル上書き]をクリックしオプションを選択して [作成]をクリックします


Citrix Gateway 130



Web Interfaceを使したクライアントレスアクセスのユーザ設定の保存

March 26 2020

ユーザーがクライアントレスアクセスを使してWeb Interfaceからログオンしてログオフするとユーザーが複数回ログオンしたときに Cookieが永続的であってもCitrix Gatewayは前のセッションで設定したクライアント消費 Cookieを転送しません設定ユーティリティまたはコマンドラインを使してCookieをクライアントCookieのパターンセットにバインドしセッション間のWeb Interfaceの設定を保持できます

構成ユーティリティを使してWeb Interfaceの永続性の Cookieをバインドするには

1 構成ユーティリティの [構成]タブで[Citrix Gateway] gt [ポリシー]を展開し[クライアントレスアクセス]をクリックします

2 右側のウィンドウの [ポリシー]タブで[追加]をクリックします3 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイル]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントクッキー]タブの [クライアントクッキー]で [ns_cvpn_default_client_cookie]を選択し

[変更]をクリックします7 [パターンセットを設定]ダイアログボックスの [パターンを指定]領域の [パターン]で次のパラメータをします

bull [WIUser]をクリックし[追加]をクリックしますbull WINGデバイス]をクリックし[追加]をクリックしますbull WINGセッション]をクリックし[追加]をクリックします

8 [OK]をクリックし[作成]をクリックします9 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [式]に trueとし[作成]をクリックし[閉じる]をクリックします

コマンドラインを使してWeb Interfaceの永続性の Cookieをバインドするには

1 PuTTYなどのセキュアシェル（SSH）接続を使してCitrix Gatewayのコマンドラインにログオンします2 コマンドプロンプトで shellとします


Citrix Gateway 130

3 コマンドプロンプトで次のコマンドをしますbull バインドポリシーパッチセット ns_cvpn_default_client_cookie WIUserとしEnterキーを押します

bull バインドポリシーパセット ns_cvpn_default_client_cookie WINGデバイスしENTERキーを押します

bull バインドポリシーパセット ns_cvpn_default_client_cookie WINGセッションしEnterキーを押します


クライアント選択ページの設定

March 26 2020

複数のログオンオプションをユーザーに提供するように Citrix Gatewayを構成できますクライアント選択ページを構成することによりユーザーは次の選択肢を使して1つの場所からログオンできます

bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac OS Xbull Citrix Gateway plug-in for Javabull StoreFrontbull Web Interfacebull クライアントレスアクセス

ユーザーはCitrix Gatewayまたは仮想サーバーにバインドされた証明書の Webアドレスを使してCitrixGatewayにログオンしますセッションポリシーとプロファイルを作成することでユーザーが受け取るログオンの選択肢を決定できますCitrix Gatewayの構成法に応じて［クライアントの選択］ページには以下のログオン選択肢を表すアイコンが 3つまで表されます

bull ネットワークアクセスユーザーがWebブラウザーを使して Citrix Gatewayに初めてログオンし［ネットワークアクセス］を選択するとダウンロードページが表されますユーザーが「ダウンロード」をクリックするとプラグインがユーザーデバイスにダウンロードおよびインストールされますダウンロードとインストールが完了するとアクセスインターフェイスが表されます新しいバージョンの Citrix Gatewayをインストールしたり古いバージョンに戻したりするとCitrix Gateway atewayプラグインがアプライアンス上のバージョンにサイレントでアップグレードまたはダウングレードされますユーザーがMacのCitrix Gatewayプラグインを使して接続する場合ユーザーのログオン時に新しいアプライアンスのバージョンが検出されるとプラグインはサイレントモードでアップグレードされますこのバージョンのプラグインではサイレントダウングレードはわれません

bull Web InterfaceまたはStoreFrontユーザーがログオンするWeb Interfaceを選択すると[Web Interface]ページが表されますユーザーは公開アプリケーションまたは仮想デスクトップにアクセスできますユ


Citrix Gateway 130

ーザーが StoreFrontを選択してログオンするとReceiverが開きアプリケーションやデスクトップにアクセスできます注StoreFrontをクライアントとして構成するとアプリケーションおよびデスクトップはアクセスインターフェイスの左ペインに表されません

bull クライアントレスアクセスユーザがクライアントレスアクセスを選択してログオンするとアクセスインターフェイスまたはカスタマイズされたホームページが表されますアクセスインターフェイスではユーザーはファイル共有Webサイトに移動しOutlook Web Accessを使できます

ユーザーが Javaの Citrix Gatewayプラグインを選択するとプラグインが起動しユーザーがログオンします選択ページは表されません

Secure Browse を使するとユーザーは iOS デバイスから Citrix Gateway 経由で接続できますSecureBrowseを有効にした場合ユーザーが Secure Hubを使してログオンするとSecure Browseはクライアント選択ページを無効にします


ログオン時のクライアント選択ページの表

March 26 2020

クライアント選択オプションを有効にするとCitrix Gatewayへの認証に成功すると1つの WebページからCitrix GatewayプラグインWeb InterfaceReceiverまたはクライアントレスアクセスを使してログオンできますログオンに成功するとWebページにアイコンが表されユーザーは接続を確する法を選択できますまた選択ページに表されるようにJavaの Citrix Gatewayプラグインを構成することもできます

エンドポイント分析を使したりアクセスシナリオのフォールバックを実装したりすることなくクライアントの選択を有効にできますクライアントセキュリティ式を定義しない場合ユーザーは Citrix Gatewayで構成された設定の接続オプションを受け取りますユーザーセッションにクライアントセキュリティ式が存在しユーザーデバイスがエンドポイント分析スキャンに失敗した場合Web Interfaceが設定されている場合選択ページにはWebInterfaceを使するオプションのみが表されますそれ以外の場合ユーザーはクライアントレスアクセスを使してログオンできます

クライアントの選択肢はグローバルに構成するかセッションプロファイルとポリシーを使して構成します

重要クライアントの選択を構成するときは検疫グループを構成しないでくださいエンドポイント分析スキャンに失敗し隔離されたユーザーデバイスはエンドポイントスキャンに合格したユーザーデバイスと同様に扱われます


Citrix Gateway 130

クライアント選択オプションをグローバルに有効にするには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [全般]タブで[クライアントの選択]をクリックし[OK]をクリックします

セッションポリシーの部としてクライアントの選択を有効にするには

またセッションポリシーの部としてクライアントの選択肢を構成しユーザーグループ仮想サーバーにバインドすることもできます


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします7 [全般]タブで[クライアントの選択肢]の横にある [グローバルに上書き][クライアントの選択肢][OK]

[作成]の順にクリックします8 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします


クライアント選択オプションの構成

March 26 2020

セッションプロファイルとポリシーを使してクライアントを選択できるようにするだけでなくユーザーソフトウェアの設定を構成する必要がありますたとえばユーザーが Citrix GatewayプラグインStoreFrontまたはWeb Interfaceまたはクライアントレスアクセスを使してログオンできるようにする場合です3つのオプションとクライアントの選択をすべて有効にする 1つのセッションプロファイルを作成します次にプロファイルをアタッチして True valueに設定された式を使してセッションポリシーを作成します次にセッションポリシーを仮想サーバーにバインドします

セッションポリシーとプロファイルを作成する前にユーザーの承認グループを作成する必要があります


Citrix Gateway 130

承認グループを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をします4 [ユーザー]タブでユーザーを選択し各ユーザーの [追加]をクリックし[作成]をクリックして[閉じる]をクリックします

次の順はCitrix GatewayプラグインStoreFrontおよびクライアントレスアクセスを使したクライアント選択のセッションプロファイルの例です

クライアント選択のセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をします4 [クライアントエクスペリエンス]タブで次の操作をいます

a) [ホームページ]の横にある [グローバルに上書き]をクリックし[ホームページの表]をオフにしますこれによりアクセスインターフェイスが無効になります

b) [クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[OFF]を選択しますc) [プラグインの種類]の横にある [グローバルにオーバーライド]をクリックし[WindowsMac OS X]を選択します

d) [詳細設定]をクリックし[クライアント選択肢]の横にある [グローバル上書き]をクリックし[クライアント選択肢]をクリックします

5 [セキュリティ]タブの [既定の承認操作]の横にある [グローバルに上書き]をクリックし[許可]を選択します

6 [セキュリティ]タブで[詳細設定]をクリックします7 [承認グループ]の [グローバルに上書き]をクリックし[追加]をクリックしてグループを選択します8 [公開アプリケーション]タブで次の操作をいます

a) ICAプロキシの横にある「グローバルオーバーライド」をクリックし「OFF」を選択しますb)「Web Interfaceアドレス」の横にある「グローバルに上書き」をクリックしStoreFrontのWebアドレス（httpipAddressCitrixなど）をします

c) [Web Interfaceポータルモード]の横にある [グローバルに上書き]をクリックし[コンパクト]を選択します

d) [シングルサインオンドメイン]の横にある [グローバル上書き]をクリックしドメインの名前をします


クライアントとして Citrix Gatewayプラグインを使する場合は［クライアントエクスペリエンス］タブの［プラ


Citrix Gateway 130

グインの種類］で［Java］を選択しますこの選択肢を選択する場合はイントラネットアプリケーションを構成しインターセプションモードを [プロキシ]に設定する必要があります

セッションプロファイルを作成したらセッションポリシーを作成しますポリシー内でプロファイルを選択し式を True valueに設定します

StoreFrontをクライアント選択として使するにはCitrix Gatewayで Secure Ticket Authority（STA）も構成する必要がありますSTAは仮想サーバにバインドされます

注 StoreFrontを実しているサーバーが使できない場合Citrix Virtual Apps選択肢は選択肢ページに表されません

STAサーバをグローバルに構成するには


2 詳細ペインの [サーバー]で[Secure Ticket Authorityが使する STAサーバーのバインドバインド解除]をクリックします

3 [STAサーバのバインドバインド解除]ダイアログボックスで[追加]をクリックします4 [STAサーバーの構成]ダイアログボックスの [URL]にSTAサーバーのWebアドレスをし[作成]をクリックします

5 順 3と 4を繰り返して STAサーバを追加し［OK］をクリックします

STAを仮想サーバにバインドするには


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [公開アプリケーション] タブの [Secure Ticket Authority] の [アクティブ] でSTA サーバーを選択し


また[公開アプリケーション]タブで STAサーバを追加することもできます


アクセスシナリオフォールバックの設定

March 26 2020


Citrix Gateway 130

SmartAccessを使するとCitrix Gatewayはエンドポイント分析スキャンの結果に基づいてユーザーデバイスに許可されるアクセス法を動的に決定できますアクセスシナリオのフォールバックはユーザーデバイスが最初のエンドポイント分析スキャンに合格しなかった場合にCitrix Workspaceアプリを使して CitrixGatewayプラグインからWeb Interfaceまたは StoreFrontにフォールバックできるようにすることでこの機能をさらに拡張します

アクセスシナリオのフォールバックを有効にするにはCitrix Gatewayへのログオン時に別のアクセス法をユーザーが受け取るかどうかを決定する認証後のポリシーを構成しますこの認証後のポリシーはグローバルにまたはセッションプロファイルの部として設定するクライアントセキュリティ式として定義されますセッションプロファイルを構成するとプロファイルがセッションポリシーに関連付けられユーザーグループまたは仮想サーバーにバインドされますアクセスシナリオのフォールバックを有効にするとCitrix Gatewayはユーザー認証後にエンドポイント分析スキャンを開始しますフォールバック認証後のスキャンの要件を満たさないユーザーデバイスの結果は次のとおりです

bull クライアントの選択が有効になっている場合ユーザーは Citrix Workspaceアプリのみを使してWebInterfaceまたは StoreFrontにログオンできます

bull クライアントレスアクセスとクライアントの選択が無効になっている場合Web Interface またはStoreFrontのみへのアクセスを提供するグループにユーザーを隔離できます

bull Citrix GatewayでクライアントレスアクセスとWeb Interfaceまたは StoreFrontが有効でICAプロキシが無効になっている場合ユーザーはクライアントレスアクセスに戻ります

bull Web Interfaceまたは StoreFrontが構成されておらずクライアントレスアクセスが許可されるように設定されている場合ユーザーはクライアントレスアクセスに戻ります

クライアントレスアクセスを無効にするとアクセスシナリオフォールバックに次の設定の組み合わせを設定する必要があります

bull フォールバック認証後のスキャンのクライアントセキュリティパラメータを定義しますbull Web Interfaceのホームページを定義しますbull クライアントの選択を無効にしますbull ユーザーデバイスがクライアントのセキュリティチェックに失敗した場合ユーザーは隔離グループに配置されます隔離グループではWeb Interfaceまたは StoreFrontおよび公開アプリケーションのみにアクセスできます


アクセスシナリオフォールバックのポリシーの作成

March 26 2020

アクセスシナリオのフォールバックに Citrix Gatewayを構成するには以下の法でポリシーとグループを作成する必要があります


Citrix Gateway 130

bull エンドポイント分析スキャンが失敗した場合にユーザーを配置する隔離グループを作成しますbull エンドポイント分析スキャンが失敗した場合に使するグローバルWeb Interfaceまたは StoreFront設定を作成します

bull グローバル設定を上書きするセッションポリシーを作成しセッションポリシーをグループにバインドしますbull エンドポイントの分析が失敗した場合に適されるグローバルクライアントセキュリティポリシーを作成します

アクセスシナリオフォールバックを設定する場合は次の注意事項に従ってください

bull クライアントの選択肢またはアクセスシナリオのフォールバックを使するにはすべてのユーザーに対してEndpoint Analysisプラグインが必要ですエンドポイント分析を実できない場合またはスキャン中に[スキャンをスキップ]を選択するとユーザーはアクセスを拒否されます注スキャンをスキップするオプションはCitrix Gateway 101ビルド 1201316eでは削除されています

bull クライアント選択を有効にするとユーザーデバイスがエンドポイント分析スキャンに失敗するとユーザーは検疫グループに配置されますユーザーはCitrix Gatewayプラグインまたは Citrix Workspaceアプリを使してWeb Interfaceまたは StoreFrontに引き続きログオンできます注クライアントの選択を有効にする場合は隔離グループを作成しないことをお勧めしますエンドポイント分析スキャンに失敗し隔離されたユーザーデバイスはエンドポイントスキャンに合格したユーザーデバイスと同様に処理されます

bull エンドポイント分析スキャンが失敗しユーザーが検疫グループにった場合検疫グループにバインドされたポリシーはその検疫グループにバインドされたポリシーと同等または低い優先順位を持つユーザーに直接バインドされたポリシーがない場合にのみ有効になります

bull アクセスインターフェイスとWeb Interfaceまたは StoreFrontには異なるWebアドレスを使できますホームページを構成するとCitrix Gatewayプラグインのアクセスインターフェイスのホームページが優先されWeb Interfaceユーザーのホームページが優先されますStoreFrontではCitrix Workspaceアプリのホームページが優先されます

検疫グループを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をし[作成]をクリックし[閉じる]をクリックします重要検疫グループの名前はユーザーが属するドメイングループの名前と致してはなりません検疫グループが Active Directoryグループ名と致する場合ユーザーデバイスがエンドポイント分析のセキュリティスキャンに合格した場合でもユーザーは検疫されます

グループを作成した後ユーザーデバイスがエンドポイント分析スキャンに失敗した場合にWeb Interfaceにフォールバックするように Citrix Gatewayを構成します


Citrix Gateway 130

ユーザー接続を隔離するための設定を構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバル Citrix Gateway設定］ダイアログボックスの［公開アプリケーション］タブで［ICAプロキシ］の横にある［OFF］を選択します

4「Web Interfaceアドレス」の横にStoreFrontまたはWeb InterfaceのWebアドレスをします5 [シングルサインオンドメイン]の横に Active Directoryドメインの名前をし[OK]をクリックします

グローバル設定を構成したらグローバル ICAプロキシ設定を上書きするセッションポリシーを作成しセッションポリシーを隔離グループにバインドします

Accessシナリオフォールバックのセッションポリシーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [公開アプリケーション]タブの [ICAプロキシ]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします


セッションポリシーを作成したらそのポリシーを隔離グループにバインドします

セッションポリシーを隔離グループにバインドするには


2 詳細ペインでグループを選択し[開く]をクリックします3 [セッション]をクリックします4 [ポリシー]タブで[セッション]を選択し[ポリシーの挿]をクリックします5 [ポリシー名]でポリシーを選択し[OK]をクリックします

Citrix GatewayでWeb Interfaceまたは StoreFrontを有効にするセッションポリシーとプロファイルを作成したらグローバルクライアントセキュリティポリシーを作成します


Citrix Gateway 130

グローバルクライアントセキュリティポリシーを作成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブで[詳細設定]をクリックします4 [クライアントセキュリティ]に式をしますシステム式の設定の詳細についてはシステム式の設定および複合クライアントセキュリティ式の設定を参照してください

5 [隔離グループ]でグループプロシージャで構成したグループを選択し[OK]を 2回クリックします


Citrix Gatewayプラグインの接続を構成する

March 26 2020


bull ユーザーがアクセスを許可するドメインを定義しますbull アドレスプール (イントラネット IP)などユーザーの IPアドレスを構成しますbull タイムアウト設定を構成するbull シングルサインオンを構成するbull クライアントインターセプションの設定bull 分割トンネリングの設定bull プロキシサーバーを介した接続の構成bull Citrix Gateway経由で接続するようにユーザーソフトウェアを構成するbull モバイルデバイスのアクセスを構成します

ほとんどのユーザーデバイス接続はセッションポリシーの部であるプロファイルを使して構成しますイントラネットアプリケーション事前認証およびトラフィックポリシーを使してユーザーデバイスの接続設定を定義することもできます

注 Windows VPNプラグインと EPAプラグインはさまざまな操作のためにテレメトリデータを収集しますこの機能を無効にするにはクライアントマシンで次の操作をいます

レジストリ「HKLMソフトウェア Citrixセキュアアクセスクライアント無効化 GA」を REG_DWORDの種類を 1に設定します



Citrix Gateway 130

ユーザセッション数の設定

March 26 2020

グローバルレベルまたは仮想サーバーレベルごとに特定の時点で Citrix Gatewayに接続できるユーザーの最数を設定できますアプライアンスに接続するユーザーの数が構成値を超えるとCitrix Gatewayでセッションは作成されませんユーザー数が許可する数を超えた場合ユーザーにはエラーメッセージが表されます

グローバルユーザー制限を設定するには

ユーザ制限をグローバルに設定する場合制限はシステム上の異なる仮想サーバへのセッションを確するすべてのユーザに適されますユーザーセッション数が設定した値に達するとCitrix Gateway上の仮想サーバー上で新しいセッションを確することはできません

Citrix Gatewayのデフォルトの認証タイプを設定するときにグローバルレベルで最ユーザー数を設定します


2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [グローバル認証設定]ダイアログボックスの [最ユーザー数]にユーザー数をし[OK]をクリックします

仮想サーバーごとのユーザー制限を設定するには

またシステム上の各仮想サーバーにユーザー制限を適することもできます仮想サーバーごとのユーザー制限を構成する場合制限は特定の仮想サーバーとのセッションを確するユーザーにのみ適されます他の仮想サーバーとのセッションを確するユーザーはこの制限の影響を受けません


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [最ユーザー数]にユーザー数をし[OK]をクリックします


タイムアウト設定の構成

March 26 2020


Citrix Gateway 130

指定した分数の間接続にアクティビティがない場合に強制的に切断されるように Citrix Gatewayを構成できますセッションがタイムアウトする（切断する）1分前にセッションが終了することをすアラートがユーザーに表されますセッションが終了するとユーザーは再度ログオンする必要があります

タイムアウトのオプションには次の 3つがあります

bull 強制タイムアウトこの設定を有効にするとユーザーの操作に関係なくタイムアウト間隔が経過するとCitrix Gatewayでセッションが切断されますタイムアウト間隔が経過したときに切断が発するのを防ぐためにユーザーが実できるアクションはありませんこの設定はCitrix GatewayプラグインCitrixWorkspaceアプリSecure HubまたはWebブラウザを使して接続するユーザーに対して適されますデフォルト設定は 30分です値を 0にすると設定は無効になります

bull セッションタイムアウトこの設定を有効にすると指定した間隔でネットワークアクティビティが検出されなかった場合Citrix Gatewayはセッションを切断しますこの設定はCitrix GatewayプラグインCitrix WorkspaceアプリCitrix Secure HubまたはWebブラウザを使して接続するユーザーに適されますデフォルトのタイムアウト設定は 30分です値を 0にすると設定は無効になります

bull アイドルセッションのタイムアウトユーザーがマウスキーボードタッチ操作などの操作がわれなかった場合にCitrix Gatewayプラグインがアイドルセッションを終了するまでの時間この設定はCitrixGatewayプラグインを使して接続するユーザーのみに適されますデフォルト設定は 30分です値を0にすると設定は無効になります

注 Microsoft Outlookなどの部のアプリケーションはユーザーの介なしにネットワークトラフィックプローブを動的に電メールサーバーに送信しますアイドルセッションタイムアウトを「セッションタイムアウト」に設定してユーザーデバイス上で無のセッションが適切な時間内にタイムアウトするように構成することをお勧めします

これらの設定を有効にするには1〜 65536の値をしタイムアウト間隔の分数を指定しますこれらの設定を複数有効にすると最初のタイムアウト間隔が経過するとユーザーデバイスの接続が閉じます

タイムアウト設定はグローバル設定を構成するかセッションプロファイルを使して構成しますプロファイルをセッションポリシーに追加するとポリシーはユーザーグループまたは仮想サーバーにバインドされますタイムアウト設定をグローバルに構成すると設定がすべてのユーザーセッションに適されます


強制タイムアウトの設定

March 26 2020

強制タイムアウトを設定すると指定した時間が経過するとCitrix Gatewayプラグインが動的に切断されます強制タイムアウトはグローバルに設定することもセッションポリシーの部として設定することもできます


Citrix Gateway 130

グローバル強制タイムアウトを構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワークの構成]タブで[詳細設定]をクリックします4 [強制タイムアウト (分)]にユーザーが接続を維持できる分数をします5 [強制タイムアウト警告 (分)]に接続が切断されることをユーザーに警告するまでの時間を分単位でし[

OK]をクリックします

セッションポリシー内で強制タイムアウトを構成するには

強制タイムアウトを受け取るユーザーをさらに制御するにはセッションポリシーを作成しそのポリシーをユーザーまたはグループに適します

1 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］ gt［ポリシー］の順に展開し［セッション］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [ネットワーク構成]タブで[詳細設定]をクリックします7 [タイムアウト]の [グローバルに上書き]をクリックし[強制タイムアウト (分)]にユーザーが接続を維持できる分数をします

8 [強制タイムアウト警告 (分)]の横にある [グローバル上書き]をクリックし接続が切断されることについてユーザーに警告する時間 (分)をします［OK］を 2回クリックします

9 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][ True value ][式の追加 ][作成][閉じる]の順にクリックします


セッションまたはアイドルタイムアウトの設定

March 26 2020

構成ユーティリティを使してセッションおよびクライアントのタイムアウト設定をグローバルに設定したりセッションポリシーを作成したりできますセッションポリシーとプロファイルを作成するときは式をTrueに設定します


Citrix Gateway 130

セッションまたはクライアントのアイドルタイムアウトをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで次のいずれかまたは両の操作をいます

bull [セッションタイムアウト (分)]に分数をしますbull [クライアントアイドルタイムアウト (分)]に分数をし[ OK]をクリックします

セッションポリシーを使してセッションまたはクライアントのアイドルタイムアウト設定を構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで次のいずれかまたは両の操作をいます

bull [セッションタイムアウト (分)]の横にある [グローバル上書き]をクリックし分数をして [作成]をクリックします

bull [クライアントアイドルタイムアウト (分)]の横の [グローバル上書き]をクリックし分数をして [作成]をクリックします

7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [ 全般][ True value ][式の追加 ][作成][閉じる]の順にクリックします


内部ネットワークリソースへの接続

March 26 2020

ユーザーが内部ネットワークのリソースにアクセスできるように Citrix Gatewayを構成できます分割トンネリングを無効にするとユーザーデバイスからのすべてのネットワークトラフィックが Citrix Gatewayに送信され内部ネットワークリソースへのトラフィックの通過を許可するかどうかが承認ポリシーによって決定されます分割トンネリングを有効にすると内部ネットワーク宛てのトラフィックのみがユーザーデバイスによって傍受されCitrix Gatewayに送信されますCitrix Gatewayがインターセプトする IPアドレスを構成するにはイントラネットアプリケーションを使します


Citrix Gateway 130

Windowsの Citrix Gatewayプラグインを使している場合はインターセプトモードを透過モードに設定しますJava Citrix Gatewayプラグインを使している場合はインターセプトモードをプロキシに設定しますインターセプションモードを透過モードに設定すると以下を使してネットワークリソースへのアクセスを許可できます

bull 単の IPアドレスとサブネットマスクbull IPアドレスの範囲

インターセプションモードをプロキシに設定すると宛先および送信元 IPアドレスおよびポート番号を設定できます


1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway][リソース]の順に展開し[イントラネットアプリケーション]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 ネットワークアクセスを許可するためのパラメータをし[作成][閉じる]の順にクリックします


分割トンネリングの構成

April 9 2020

分割トンネリングを有効にするとCitrix Gatewayプラグインが Citrix Gatewayに不要なネットワークトラフィックを送信しないようにできます

分割トンネリングを有効にしない場合Citrix GatewayプラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャしVPNトンネル経由で Citrix Gatewayに送信します

分割トンネリングを有効にするとCitrix GatewayプラグインはVPNトンネルを介して Citrix Gatewayによって保護されたネットワーク宛てのトラフィックのみを送信しますCitrix Gatewayプラグインは保護されていないネットワーク宛てのネットワークトラフィックを Citrix Gatewayに送信しません

Citrix Gatewayプラグインが起動するとCitrix Gatewayからイントラネットアプリケーションのリストを取得しますCitrix Gatewayプラグインはユーザーデバイスからネットワーク上で送信されるすべてのパケットを調べパケット内のアドレスをイントラネットアプリケーションのリストと較しますパケット内の宛先アドレスがイントラネットアプリケーションのいずれか内にある場合Citrix Gatewayプラグインは VPNトンネルを介してCitrix Gatewayにパケットを送信します宛先アドレスが定義済みのイントラネットアプリケーションにない場合パケットは暗号化されずユーザーデバイスはパケットを適切にルーティングします分割トンネリングを有効にするとイントラネットアプリケーションによってインターセプトされるネットワークトラフィックが定義されます


Citrix Gateway 130

注ユーザーが Citrix Workspaceアプリを使してサーバーファーム内の公開アプリケーションに接続する場合分割トンネリングを構成する必要はありません


イントラネットアプリケーションの詳細についてはクライアントインターセプションの設定を参照してください

分割トンネリングはセッションポリシーの部として設定します


1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gatewayポリシー］を展開し［セッション］をクリックします

2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします3 [クライアントエクスペリエンス]タブで[分割トンネル]の横にある [グローバル上書き]を選択しオプションを選択して [ OK ]を 2回クリックします



たとえばネットワークリソースへのアクセスを許可する認可ポリシーがあるとします分割トンネリングが ONに設定されておりイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックを送信するように構成していないCitrix Gatewayにこのような構成がある場合リソースへのアクセスは許可されますがユーザーはリソースにアクセスできません

認証ポリシーによってネットワークリソースへのアクセスが拒否され分割トンネリングが ONに設定されていてイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合Citrix Gateway atewayプラグインは Citrix Gatewayにトラフィックを送信しますがリソースへのアクセスは拒否されます



Citrix Gateway 130

クライアントインターセプションの設定

March 26 2020

イントラネットアプリケーションを使してCitrix Gateway上のユーザー接続の傍受ルールを構成しますデフォルトではアプライアンスでシステム IPアドレスマッピング IPアドレスまたはサブネット IPアドレスを設定するとこれらの IPアドレスに基づいてサブネットルートが作成されますイントラネットアプリケーションはこれらのルートに基づいて動的に作成され仮想サーバーにバインドできます分割トンネリングを有効にする場合はクライアントインターセプションが発するようにイントラネットアプリケーションを定義する必要があります

構成ユーティリティを使してイントラネットアプリケーションを構成できますイントラネットアプリケーションをユーザーグループまたは仮想サーバーにバインドできます

分割トンネリングを有効にしユーザーがWorxWebまたはWorxMailを使して接続する場合クライアント傍受を構成するときにCitrix Endpoint Managementと Exchangeサーバーの IPアドレスを追加する必要があります分割トンネリングを有効にしない場合はイントラネットアプリケーションで Endpoint ManagementとExchangeの IPアドレスを構成する必要はありません


Citrix Gatewayプラグインのイントラネットアプリケーションの構成

March 26 2020

リソースへのユーザーアクセスのイントラネットアプリケーションを作成するには次の項を定義します

bull 1つの IPアドレスbull IPアドレスの範囲bull ホスト名

Citrix Gateway atewayでイントラネットアプリケーションを定義するとWindowsの Citrix Gatewayプラグインはリソース宛てのユーザーのトラフィックをインターセプトしCitrix Gateway経由でトラフィックを送信します

イントラネットアプリケーションを構成する場合は次の点を考慮してください

bull 次の条件が満たされている場合イントラネットアプリケーションを定義する必要はありませんndash インターセプションモードが透過モードに設定されているndash ユーザーがWindowsの Citrix Gatewayプラグインを使して Citrix Gatewayに接続しているndash 分割トンネリングは無効です


Citrix Gateway 130

bull ユーザーが Java Citrix Gatewayプラグインを使して Citrix Gatewayに接続する場合はイントラネットアプリケーションを定義する必要がありますCitrix Gatewayプラグインはイントラネットアプリケーションで定義されたネットワークリソースへのトラフィックのみをインターセプトしますユーザーがこのプラグインで接続する場合はインターセプションモードをプロキシに設定します

イントラネットアプリケーションを構成するときは接続に使するプラグインソフトウェアのタイプに対応する傍受モードを選択する必要があります

注意イントラネットアプリケーションはプロキシインターセプションと透過インターセプションの両に対して構成できませんWindowsの Citrix Gatewayプラグインと Javaの Citrix Gatewayプラグインの両で使されるネットワークリソースを構成するには2つのイントラネットアプリケーションポリシーを構成しそのポリシーをユーザーグループ仮想サーバーまたは Citrix Gatewayグローバルにバインドします

1つの IPアドレスに対してイントラネットアプリケーションを作成するには

1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gatewayリソース］を展開し［イントラネットアプリケーション］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]にプロファイルの名前をします4 [イントラネットアプリケーションの作成]ダイアログボックスで[透明]を選択します5 [宛先の種類]で[ IPアドレス]と [ ネットマスク]を選択します 6 [プロトコル]でネットワークリソースに適するプロトコルを選択します7 [ IPアドレス]に IPアドレスをします8 [ネットマスク]に「サブネットマスク」とし[作成][閉じる]の順にクリックします

IPアドレス範囲を構成するには

Web電メールファイル共有などネットワークに複数のサーバーがある場合はネットワークリソースの IP範囲を含むネットワークリソースを構成できますこの設定によりユーザーは IPアドレス範囲に含まれるネットワークリソースにアクセスできます


2 詳細ウィンドウで[ 追加]をクリックします 3 [名前]にプロファイルの名前をします4 [プロトコル]でネットワークリソースに適するプロトコルを選択します5 [イントラネットアプリケーションの作成]ダイアログボックスで[透明]を選択します6「宛先の種類」で「IPアドレスの範囲」を選択します7 [ IP開始]に開始 IPアドレスをし[IP終了]に終了 IPアドレスをし[作成][ 閉じる]の順にクリックします


Citrix Gateway 130

ホスト名のイントラネットアプリケーションを作成するには


2 詳細ウィンドウで[ 追加]をクリックします 3 [名前]にプロファイルの名前をします4 [イントラネットアプリケーションの作成]ダイアログボックスで[透明]を選択します5「デスティネーションタイプ」でホスト名を選択します6 [プロトコル]で[ ANY]を選択し[作成]をクリックして [閉じる]をクリックします

注意点

1 ワイルドカードホスト名がサポートされていますホスト名「examplecom」のイントラネットアプリケーションが構成されている場合a1examplecomb2examplecomなどはトンネリングされます

2 ホスト名ベースのイントラネットアプリケーションは分割トンネリングがONに設定されている場合にのみ機能します

3 ホスト名ベースのイントラネットアプリケーションはWindows VPNプラグインでのみサポートされます


Java Citrix Gatewayプラグインのイントラネットアプリケーションの構成

March 26 2020

ユーザーが Javaの Citrix Gatewayプラグインを使して接続する場合はイントラネットアプリケーションを構成し傍受モードをプロキシに設定する必要がありますCitrix Gatewayプラグインはプロファイルで指定されたユーザーデバイスのループバック IPアドレスとポート番号を使してトラフィックをインターセプトします

ユーザーがWindowsベースのデバイスから接続している場合Citrix GatewayプラグインはアプリケーションHOST名を設定してプロファイルで指定されたループバック IPアドレスとポートにアクセスすることでHOSTファイルの変更を試みますHOSTファイルを変更するにはユーザーデバイスに対する管理者権限が必要です

ユーザーがWindows以外のデバイスから接続する場合はイントラネットアプリケーションプロファイルで指定された送信元 IPアドレスとポート値を使してアプリケーションを動で構成する必要があります

Java Citrix Gatewayプラグインにイントラネットアプリケーションを構成するには



Citrix Gateway 130



4 [プロキシ]をクリックします

5 [宛先 IPアドレス]と [宛先ポート]に宛先 IPアドレスとポートをします

6 [送信元 IPアドレス]と [送信元ポート]に送信元 IPアドレスとポートをします

注送信元 IPアドレスはループバック IPアドレス 127001に設定する必要がありますIPアドレスを指定しない場合はループバック IPアドレスが使されますポート値をしない場合は宛先ポート値が使されます



March 26 2020






2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします3 [ネットワーク構成]タブで次のいずれかの操作をいます

bull DNSサーバーを構成するには[DNS仮想サーバー]の横にある [グローバル上書き]をクリックしサーバーを選択して [ OK]をクリックします

bull WINSサーバーを構成するには[WINSサーバー IP]の横にある [グローバル上書き]をクリックしIPアドレスをして [ OK]をクリックします


Citrix Gateway 130


ユーザ接続のプロキシサポートの有効化

March 26 2020

ユーザーデバイスは内部ネットワークにアクセスするためにプロキシサーバーを介して接続できますCitrixGatewayはHTTPSSLFTPおよび SOCKSプロトコルをサポートしていますユーザー接続のプロキシサポートを有効にするにはCitrix Gatewayで設定を指定しますCitrix Gatewayのプロキシサーバーが使する IPアドレスとポートを指定できますプロキシサーバーは内部ネットワークへのすべてのそれ以降の接続のためのフォワードプロキシとして使されます

ユーザー接続のプロキシサポートを構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [プロキシ]タブの [プロキシ設定]で[オン]を選択します5 プロトコルの場合はIPアドレスとポート番号をし[ OK]をクリックします

注意 Applianceを選択した場合はセキュアおよびセキュアでない HTTP接続のみをサポートするプロキシサーバーを構成できます

Citrix Gatewayでプロキシサポートを有効にした後プロトコルに対応するプロキシサーバーの構成の詳細をユーザーデバイス上で指定します

プロキシサポートを有効にするとCitrix Gatewayによってプロキシサーバーの詳細がクライアントのWebブラウザーに送信されブラウザーでプロキシ構成が変更されますユーザーデバイスが Citrix Gatewayに接続するとユーザーデバイスはプロキシサーバーと直接通信しユーザーのネットワークに接続できます

Citrix Gatewayのすべてのプロトコルを使するように 1つのプロキシサーバーを構成するには

Citrix Gatewayで使されるすべてのプロトコルをサポートするように1つのプロキシサーバーを構成できますこの設定ではすべてのプロトコルに対して 1つの IPアドレスとポートの組み合わせを提供します




Citrix Gateway 130

3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [プロキシ]タブの [プロキシ設定]で[オン]を選択します5 プロトコルの場合はIPアドレスとポート番号をします6 [すべてのプロトコルに同じプロキシサーバーを使する]をクリックし[ OK]をクリックします

分割トンネリングを無効にしすべてのプロキシ設定を Onに設定するとプロキシ設定がユーザデバイスに伝播されますプロキシ設定が Applianceに設定されている場合設定はユーザーデバイスには反映されません

Citrix Gatewayはユーザーデバイスの代わりにプロキシサーバーに接続しますプロキシ設定はユーザーのブラウザには反映されないためユーザーデバイスとプロキシサーバー間の直接通信はできません

Citrix Gatewayをプロキシサーバーとして構成するには

Citrix Gatewayをプロキシサーバーとして構成する場合サポートされるプロトコルは安全でない安全な HTTPだけです


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [プロキシ]タブの [プロキシ設定]で[アプライアンス]を選択します5 プロトコルの場合はIPアドレスとポート番号をし[ OK]をクリックします


アドレスプールの設定

March 26 2020

場合によってはCitrix Gatewayプラグインを使して接続するユーザーにCitrix Gatewayの意の IPアドレスが必要ですたとえばSamba環境ではマップされたネットワークドライブに接続する各ユーザーは異なるIPアドレスから発信されているようにえる必要がありますグループのアドレスプール（IPプールとも呼ばれます）を有効にするとCitrix Gatewayで各ユーザーに意の IPアドレスエイリアスを割り当てることができます

アドレスプールはイントラネット IPアドレスを使して構成します次のタイプのアプリケーションではIPプールから取得される意の IPアドレスを使する必要があります

bull ボイスオーバー IPbull アクティブな FTPbull インスタントメッセージbull セキュアシェル（SSH）


Citrix Gateway 130

bull コンピュータのデスクトップに接続するための仮想ネットワークコンピューティング（VNC）bull クライアントデスクトップに接続するためのリモートデスクトップ (RDP)

Citrix Gatewayに接続するユーザーに内部 IPアドレスを割り当てるように Citrix Gatewayを構成できます固定IPアドレスをユーザに割り当てたりグループ仮想サーバまたはシステムにグローバルに割り当てたりする IPアドレスの範囲を指定できます

Citrix Gatewayでは内部ネットワークの IPアドレスをリモートユーザーに割り当てることができますリモートユーザは内部ネットワーク上の IPアドレスでアドレス指定できますIPアドレスの範囲を使することを選択した場合システムは要求に応じてその範囲の IPアドレスをリモートユーザに動的に割り当てます

アドレスプールを設定する場合は次の点に注意してください

bull 割り当てられた IPアドレスは正しくルーティングされる必要があります正しいルーティングをうために次の点を考慮してください

ndash 分割トンネリングを有効にしない場合はIPアドレスを Network Address Translation（NATネットワークアドレス変換）デバイス経由でルーティングできることを確認してください

ndash イントラネット IPアドレスを持つユーザー接続によってアクセスされるサーバーにはそれらのネットワークに到達するための適切なゲートウェイが構成されている必要があります

ndash ユーザーソフトウェアからのネットワークトラフィックが内部ネットワークにルーティングされるようにCitrix Gatewayでゲートウェイまたは静的ルートを構成します

bull IPアドレス範囲を割り当てるときは連続したサブネットマスクだけを使できます範囲のサブセットは下位レベルのエンティティに割り当てることができますたとえばIPアドレス範囲が仮想サーバにバインドされている場合は範囲のサブセットをグループにバインドします

bull IPアドレス範囲はバインディングレベル内の複数のエンティティにバインドすることはできませんたとえばグループにバインドされているアドレス範囲のサブセットを 2番のグループにバインドすることはできません

bull Citrix Gatewayではユーザーセッションでアクティブに使されている IPアドレスを削除またはバインド解除することはできません

bull 内部ネットワーク IPアドレスは次の階層を使してユーザーに割り当てられますndash ユーザーの直接バインドndash グループに割り当てられたアドレスプールndash 仮想サーバに割り当てられたアドレスプールndash アドレスのグローバル範囲

bull アドレス範囲の割り当てに使できるのは連続したサブネットマスクだけですただし割り当てられた範囲のサブセットはさらに下位レベルのエンティティに割り当てられる場合がありますバインドされたグローバルアドレス範囲は次の範囲にバインドできます

ndash 仮想サーバndash グループndash ユーザー

bull バインドされた仮想サーバアドレス範囲は次のサブセットにバインドできますndash グループ


Citrix Gateway 130

ndash ユーザー

バインドされたグループアドレス範囲はユーザーにバインドされたサブセットを持つことができます

IPアドレスがユーザーに割り当てられるとアドレスプールの範囲がなくなるまでユーザーの次回のログオンにアドレスが予約されますアドレスが使い果たされるとCitrix Gatewayからログオフしたユーザーの IPアドレスを最もく再利します

アドレスを再利できずすべてのアドレスがアクティブに使されている場合Citrix Gatewayはユーザーのログオンを許可しませんこの状況を回避するには他のすべての IPアドレスが使できない場合にマッピングされた IPアドレスをイントラネット IPアドレスとして使することを Citrix Gatewayに許可します

イントラネット IP DNS登録

イントラネット IPがクライアントマシンに割り当てられVIPトンネルの確後にVPNプラグインはそのクライアントマシンがドメインに参加しているかどうかをチェックしますクライアントマシンがドメインに参加しているマシンの場合VPNプラグインは DNS登録プロセスを開始しマシンのホスト名のイントラネットと割り当てられたイントラネット IPアドレスを結び付けますこの登録はトンネルの確解除前に元に戻されます

DSN登録を成功させるには次の nsapimgrノブが設定されていることを確認しますまた権限のある DNSサーバーが「セキュリティで保護されていない」DNS更新を許可するように設定されていることを確認します

bull nsapimgr-ys enable_vpn_dns_override=1このフラグは他の構成パラメータとともに NetScalerGateway VPN クライアントに送信されますこのフラグが設定されていない場合VPN クライアントが DNSWINS リクエストをインターセプトすると対応する GETDNSHTTP リクエストをトンネル経由で NetScaler Gateway 仮想サーバーに送信し解決された IP アドレスを取得しますただしrsquoenable_vpn_dnstruncate_fixrsquoフラグが設定されている場合VPNクライアントは DNSWINS要求を透過的に NetScaler Gateway仮想サーバーに転送しますこの場合DNSパケットはそのまま VPNトンネルを介して NetScaler Gateway仮想サーバーに送信されますこれはNetScaler Gatewayで構成されたネームサーバーから戻ってくる DNSレコードがきくUPD応答パケットに収まらない場合に役ちますこの場合クライアントが TCP-DNSを使するようにフォールバックするとこの TCP-DNSパケットはそのままNetScaler Gatewayサーバーに送信されるためNetScaler Gatewayサーバーは DNSサーバーに対して TCP-DNSクエリを実します

bull このフラグはNetScaler Gatewayサーバー体によって使されますこのフラグが設定されている場合NetScaler Gatewayは「DNSポート上の TCP接続」の宛先を NetScaler Gatewayで構成されたDNSサーバーへの宛先を上書きします（元の着信 TCP-DNSパケットに存在する DNSサーバー IPに送信する代わりに）UDP DNS要求の場合デフォルトでは設定された DNSサーバを DNS解決に使します

これらのノブの設定の詳細についてはhttpssupportcitrixcomarticleCTX200243を参照してください



Citrix Gateway 130


March 26 2020

設定ユーティリティを使してポリシーをバインドするレベルでアドレスプールを設定しますたとえば仮想サーバーのアドレスプールを作成する場合はそのノードでイントラネット IPアドレスを構成しますアドレスプールを設定するとポリシーが設定されているエンティティにバインドされますアドレスプールを作成しCitrixGatewayでグローバルにバインドすることもできます

ユーザーグループまたは仮想サーバーのアドレスプールを構成するには

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］を展開し次のいずれかの操作をいます

bull Citrix Gatewayユーザーの管理］を展開し［AAAユーザー］をクリックしますbull Citrix Gateway gt［ユーザー管理］の順に展開し［AAAグループ］をクリックしますbull Citrix Gatewayを展開し［仮想サーバー］をクリックします

2 詳細ウィンドウでユーザーグループまたは仮想サーバーをクリックし[開く]をクリックします3 [イントラネット IP ]タブの [IPアドレスとネットマスク]に IPアドレスとサブネットマスクをし[追加]をクリックします

4 プールに追加する IPアドレスごとにステップ 3を繰り返し[ OK]をクリックします

アドレスプールをグローバルに設定するには


2 詳細ペインの [イントラネット IP]ですべてのクライアント Citrix Gatewayセッションで使する意の静的 IPアドレスまたは IPアドレスのプールを割り当てるには[イントラネット IP]を構成します

3 [イントラネット IPのバインド]ダイアログボックスで[操作]をクリックし[挿]をクリックします4 [IPアドレス]と [ネットマスク]に IPアドレスとサブネットマスクをし[追加]をクリックします5 プールに追加する各 IPアドレスに対してステップ 3と 4を繰り返し[ OK]をクリックします


アドレスプールオプションの定義

March 26 2020


Citrix Gateway 130

セッションポリシーまたはグローバル Citrix Gateway設定を使してユーザーセッション中にイントラネット IPアドレスを割り当てるかどうかを制御できますアドレスプールオプションを定義するとイントラネット IPアドレスを Citrix Gatewayに割り当てると同時に特定のユーザーグループのイントラネット IPアドレスを使できなくなります

セッションポリシーを使して次の 3つの法のいずれかを使してアドレスプールを設定できます

bull Nospillover-イントラネット IPアドレスのアドレスプールを構成するとプールから使可能な IPを持つセッションが取得されます使可能なすべてのイントラネット IPアドレスを使したユーザーの場合は[ログインの転送]ページが表されます

bull スピルオーバー-アドレスプールを構成しマップされた IPをイントラネット IPアドレスとして使する場合マップされた IPアドレスは使可能なすべてのイントラネット IPアドレスを使したユーザーに使されます

bull Offアドレスプールは設定されていません

注マッピングされた IPアドレスが設定されていない場合はSNIPが使されます

アドレスプールを設定するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [ネットワーク構成]タブで[詳細設定]をクリックします7 [イントラネット IP]の横にある [グローバル上書き]をクリックしオプションを選択します8 順 9で「SPILLOVER」を選択した場合は「Mapped IP」の横にある「グローバル上書き」をクリックしアプライアンスのホスト名を選択して「OK」をクリックし「作成」をクリックします

9 [セッションポリシーの作成]ダイアログボックスで式を作成し[作成][閉じる]の順にクリックします

転送ログインページの設定

ユーザーがイントラネット IPアドレスを使できずCitrix Gatewayとの別のセッションを確しようとすると［ログインの転送］ページが表されます［ログインの転送］ページでは既存の Citrix Gatewayセッションを新しいセッションに置き換えることができます

[ログインの転送]ページはログオフ要求が失われた場合やユーザーがクリーンログオフを実しない場合にも使できます次に例をします

bull ユーザーに静的イントラネット IPアドレスが割り当てられ既存の Citrix Gatewayセッションがありますユーザが別のデバイスから 2番のセッションを確しようとすると[Transfer Login]ページが表されユーザはセッションを新しいデバイスに転送できます


Citrix Gateway 130

bull ユーザーには 5つのイントラネット IPアドレスが割り当てられCitrix Gatewayを介して 5つのセッションが割り当てられますユーザが 6番のセッションを確しようとすると[ログインの転送（TransferLogin）]ページが表され既存のセッションを新しいセッションに置き換えることができます

注ユーザーに gt割り当てられた IPアドレスがなく[gtログインの転送]ページを使して新しい gtセッションを確できない場合ユーザーには gtエラーメッセージが表されます

[Transfer Login]ページはアドレスプールを設定しスピルオーバーを無効にした場合にだけ表されます

DNSサフィックスの設定

ユーザーが Citrix GatewayにログオンしIPアドレスが割り当てられるとユーザー名と IPアドレスの組み合わせの DNSレコードが Citrix Gatewayの DNSキャッシュに追加されますDNSレコードがキャッシュに追加されるときにユーザー名に付加するように DNSサフィックスを構成できますこれによりユーザーは DNS名で参照できるようになりIPアドレスよりも覚えやすくなりますユーザーが Citrix Gatewayからログオフするとレコードは DNSキャッシュから削除されます



2 詳細ペインの [ポリシー]タブでセッションポリシーを選択し[開く]をクリックします3 [プロファイルの要求]の横にある [変更]をクリックします4 [ネットワーク構成]タブで[詳細設定]をクリックします5 [イントラネット IP DNSサフィックス]の横の [グローバル上書き]をクリックしDNSサフィックスをして [ OK]を 3回クリックします


VoIP電話のサポート

April 9 2020

Citrix Gatewayをスタンドアロンアプライアンスとしてインストールしユーザーが Citrix Gatewayプラグインを使して接続する場合Citrix Gatewayはボイスオーバー IP（VoIP）ソフトフォンとの双向通信をサポートします

声やビデオなどのリアルタイムアプリケーションはUser Datagram Protocol（UDPユーザデータグラムプロトコル）を介して実装されますTransmission Control Protocol（TCP）は受信確認および失われたパケットの


Citrix Gateway 130

再送信によってじる遅延のためリアルタイムトラフィックには適していませんすべてのパケットを確実に配信するよりもリアルタイムでパケットを配信することが重要ですただしTCPを介したトンネリングテクノロジーではこのようなリアルタイムパフォーマンスは満たされません

Citrix Gatewayでは次の VoIPソフトフォンがサポートされています

bull Cisco Softphonebull Avaya IPソフトフォン

IP PBXとユーザデバイスで実されているソフトフォンソフトウェアとの間でセキュアトンネリングがサポートされますVoIPトラフィックが安全なトンネルを通過できるようにするにはCitrix Gatewayプラグインとサポートされているソフトフォンのいずれかを同じユーザーデバイスにインストールする必要がありますVoIPトラフィックがセキュアトンネル経由で送信される場合次のソフトフォン機能がサポートされます

bull IPソフトフォンから発信される発信コールbull IPソフトフォンに発信される着信コールbull 双向声トラフィック

VoIPソフトフォンのサポートはイントラネット IPアドレスを使して設定されます各ユーザーのイントラネット IPアドレスを構成する必要がありますCiscoソフトフォンコミュニケーションを使している場合はイントラネット IPアドレスを設定してユーザにバインドした後追加の設定は必要ありませんイントラネット IPアドレスの構成の詳細についてはアドレスプールの設定を参照してください

分割トンネリングを有効にする場合はイントラネットアプリケーションを作成しAvaya Softphoneアプリケーションを指定しますさらに透過インターセプションを有効にする必要があります


Java Citrix Gatewayプラグインのアプリケーションアクセスの構成

March 26 2020

アクセスレベルとセキュアなネットワークでユーザがアクセスを許可するアプリケーションを設定できますユーザーが Java Citrix Gatewayプラグインを使してログオンしている場合［リモートセッション］ダイアログボックスで［アプリケーション］をクリックできます[イントラネットアプリケーション]ダイアログボックスが表されユーザーがアクセスを許可されているすべてのアプリケーションが覧表されます

ユーザーが Java Citrix Gatewayプラグインを使して接続している場合ユーザーがアプリケーションにアクセスできるようにする 2つの法のうちの 1つを構成できます

bull HOSTSファイルの変更法bull ソース IPとソースポートのメソッド


Citrix Gateway 130

HOSTSファイル変更法を使したアプリケーションへのアクセス

HOSTSファイルの変更法を使するとCitrix GatewayプラグインはHOSTSファイルで構成するアプリケーションに対応するエントリを追加しますWindowsベースのデバイスでこのファイルを変更するには管理者としてログオンしているか管理者権限を持っている必要があります管理者権限でログオンしていない場合はHOSTSファイルを動で編集し適切なエントリを追加します

注WindowsベースのコンピュータではHOSTSファイルは次のディレクトリパスにありますsystemrootsystem32driversetcMacintoshまたは LinuxコンピュータではHOSTSファイルはetchostsにあります

たとえばTelnetを使してセキュリティで保護されたネットワーク内のコンピュータに接続するとしますリモートコンピュータはセキュリティで保護されたネットワーク内およびリモートでの作業 (宅など)に使しますIPアドレスはローカルホストの IPアドレス 127001である必要がありますHOSTSファイルでIPアドレスとアプリケーション名を追加しますたとえば次のようになります

127001

HOSTSファイルを編集してユーザーデバイスに保存すると接続をテストしますコマンドプロンプトを開きTelnetを使して接続すると接続をテストできますユーザーがセキュリティで保護されたネットワーク内にないユーザーデバイスを使している場合はTelnetを起動する前に Citrix Gatewayにログオンします

セキュリティで保護されたネットワーク内のコンピュータに接続するには

1 コンピュータで使可能なソフトウェアを使して Telnetセッションを開始します

2 コマンドプロンプトから「telnetを開く」とします

リモートコンピュータのログオンプロンプトが表されます

SourceIPおよび SourcePortメソッドを使したアプリケーションへのアクセス

ユーザーがセキュリティで保護されたネットワーク内のアプリケーションにアクセスする必要がありユーザーデバイスの管理者権限がない場合は[イントラネットアプリケーション]ダイアログボックスにある送信元 IPアドレスとポート番号を使して HOSTSファイルを構成します

[イントラネットアプリケーション]ダイアログボックスを開きIPアドレスとポート番号を確認するには

1 ユーザーがプラグインを使してログオンするときに[セキュアリモートアクセス]ダイアログボックスで[アプリケーション]をクリックします

2 覧でアプリケーションをつけソース IPアドレスとソースポート番号をメモします

IPアドレスとポート番号がある場合はTelnetセッションを開始してリモートネットワーク内のコンピュータに接続します



Citrix Gateway 130

アクセスインターフェイスの設定

March 26 2020

Citrix Gatewayにはユーザーがログオンした後に表されるWebページであるデフォルトのホームページが含まれていますデフォルトのホームページはアクセスインタフェースと呼ばれますAccess Interfaceをホームページとして使するかWeb Interfaceをホームページまたはカスタムホームページとして構成します

アクセスインターフェイスには 3つのパネルがあります展開環境にWeb Interfaceがある場合ユーザーはアクセスインターフェイスの左パネルで Receiverにログオンできます展開環境に StoreFrontがある場合ユーザーは左側のパネルから Receiverにログオンできません

アクセスインターフェイスは内部と外部のウェブサイトへのリンクと内部ネットワークのファイル共有へのリンクを提供するために使されますアクセスインタフェースは次の法でカスタマイズできます

bull アクセスインターフェイスの変更bull アクセスインタフェースリンクの作成

ユーザーはWebサイトやファイル共有に独のリンクを追加することでアクセスインタフェースをカスタマイズすることもできますまたホームページを使して内部ネットワークからデバイスにファイルを転送することもできます

注ユーザーがログオンしアクセスインターフェイスからファイル共有を開こうとするとファイル共有は開かず「サーバーへの TCP接続に失敗しました」というエラーメッセージが表されますこの問題を解決するにはCitrix Gatewayシステムの IPアドレスから TCPポート 445および 139のファイルサーバーの IPアドレスへのトラフィックを許可するようにファイアウォールを構成します


アクセスインタフェースのカスタムホームページへの置換

March 26 2020

グローバル設定またはセッションポリシーとプロファイルのいずれかを使してカスタムホームページを構成し既定のホームページである Access Interfaceを置き換えることができますポリシーを設定したらポリシーをユーザーグループ仮想サーバまたはグローバルにバインドできますカスタムホームページを構成するとユーザーのログオン時にアクセスインターフェイスは表されません


Citrix Gateway 130

カスタムホームページをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブの [ホームページ]で[ホームページの表]をクリックしカスタムホームページのWebアドレスをします

4 [ OK]をクリックし[閉じる]をクリックします

セッションプロファイルでカスタムホームページを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブの [ホームページ]の横にある [グローバルに上書き]をクリックし[ホームページの表]をクリックしてホームページのWebアドレスをします



アクセスインターフェイスの変更

March 26 2020

Access Interfaceに依存するのではなくカスタマイズされたホームページにユーザーを誘導することもできますこれをうにはCitrix Gatewayにホームページをインストールし新しいホームページを使するようにセッションポリシーを構成します

カスタマイズされたホームページをインストールするには


2 詳細ペインの [アクセスインターフェイスのカスタマイズ]で[アクセスインターフェイスのアップロード]をクリックします


Citrix Gateway 130

3 ネットワーク上のコンピュータ上のファイルからホームページをインストールするには[ローカルファイル]で [参照]をクリックしファイルに移動して [選択]をクリックします

4 Citrix Gatewayにインストールされているホームページを使するには［リモートパス］で［参照］をクリックしファイルを選択して［選択］をクリックします

5 [アップロード]をクリックし[閉じる]をクリックします


Webリンクとファイル共有リンクの作成と適

March 26 2020

ユーザーが使できる内部リソースへのリンクのセットが表されるようにAccess Interfaceを設定できますこれらのリンクを作成するにはまずリンクをリソースとして定義する必要があります次にユーザーグループ仮想サーバーまたはグローバルにバインドしてアクセスインターフェイスでアクティブにします作成したリンクは[エンタープライズWebサイト]および [エンタープライズファイル共有]の下の [Webサイト]ウィンドウと [ファイル共有]ウィンドウに表されますユーザーが独のリンクを追加するとこれらのリンクは [個Webサイト]および [個ファイル共有]に表されます

セッションポリシーでアクセスインタフェースリンクを作成するには

1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gatewayリソース］を展開し［ポータルのブックマーク］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]にブックマークの名前をします4 [表するテキスト]にリンクの説明をします説明がアクセスインターフェイスに表されます5 [ブックマーク]にWebアドレスをし[作成][閉じる]の順にクリックします

クライアントレスアクセスを有効にするとWebサイトへの要求が Citrix Gatewayを通過するようにできますたとえばGoogleにブックマークを追加したとします［ブックマークの作成］ダイアログボックスでCitrixGatewayをリバースプロキシとして使する］チェックボックスをオンにしますこのチェックボックスをオンにするとWebサイトの要求はユーザーデバイスから Citrix Gatewayに送信され次にWebサイトに送信されますこのチェックボックスをオフにすると要求はユーザーデバイスからWebサイトに送信されますこのチェックボックスはクライアントレスアクセスを有効にしている場合にのみ使できます


Citrix Gateway 130

ブックマークをグローバルにバインドするには


2 詳細ペインの [ブックマーク]でCitrix Gatewayポータルページでアクセス可能にする HTTPアプリケーションおよびWindowsファイル共有アプリケーションへのリンクを作成します

3 [VPNグローバルバインディングの設定 ]ダイアログボックスで[追加]をクリックします4 [使可能]で1つまたは複数のブックマークを選択し右印をクリックして [構成]の下のブックマークを移動し[OK]をクリックします

アクセスインターフェイスリンクをバインドするには

アクセスインタフェースリンクを次の場所にバインドできます

bull ユーザーbull グループbull 仮想サーバー

構成を保存するとユーザーは [ホーム]タブの [アクセスインターフェイス]でリンクを使できるようになりますこのタブはユーザーが正常にログオンした後に最初に表されるページですリンクはタイプに応じてWebサイトリンクまたはファイル共有リンクとしてページ上に整理されます

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいますbull Citrix Gatewayユーザーの管理］を展開し［AAAユーザー］をクリックしますbull Citrix Gatewayのユーザー管理］を展開し［AAAグループ］をクリックしますbull Citrix Gatewayを展開し［仮想サーバー］をクリックします

2 詳細ウィンドウで次のいずれかの操作をいますbull ユーザーを選択し[開く]をクリックしますbull グループを選択し[開く]をクリックしますbull 仮想サーバを選択し[開く]をクリックします

3 ダイアログボックスで[ブックマーク]タブをクリックします4 [使可能なブックマーク]で1つまたは複数のブックマークを選択し右印をクリックして [構成済みブックマーク]の下のブックマークを移動し[OK]をクリックします


ブックマークでのユーザー名トークンの設定

March 26 2020


Citrix Gateway 130

特別なトークンusernameを使してブックマークとファイル共有URLを設定できますユーザーがログオンするとトークンは各ユーザーのログオン名に置き換えられますたとえば EmployeeServer usernameというフォルダの Jackという名前の従業員のブックマークを作成するとしますジャックがログオンするとファイル共有 URLは従業員サーバージャックにマップされますブックマークにユーザー名トークンを設定する場合は次の状況に留意してください

bull 1つの認証タイプを使している場合はトークンusernameがユーザー名に置き換えられますbull 2要素認証を使している場合usernameトークンの代わりにプライマリ認証タイプのユーザー名が使されます

bull クライアント証明書認証を使している場合はクライアント証明書認証プロファイルのユーザー名フィールドを使してusernameトークンの置き換えがわれます


トラフィックポリシーの仕組み

March 26 2020

トラフィックポリシーではユーザ接続に対して次の設定を構成できます

bull 信頼できないネットワークからアクセスされる機密アプリケーションのタイムアウトを短くするbull 部のアプリケーションで TCPを使するようにネットワークトラフィックを切り替える[TCP]を選択した場合は特定のアプリケーションに対してシングルサインオンを有効または無効にする必要があります

bull Citrix Gatewayプラグインのトラフィックに他の HTTP機能を使する状況を特定しますbull ファイルタイプの関連付けで使されるファイル拡張を定義します


トラフィックポリシーの作成

April 9 2020

トラフィックポリシーを設定するにはプロファイルを作成し次のパラメータを設定します

bull プロトコル (HTTPまたは TCP)bull アプリケーションのタイムアウトbull Webアプリケーションへのシングルサインオンbull フォームのシングルサインオン


Citrix Gateway 130

bull ファイルタイプの関連付けbull リピータプラグインbull Kerberos制約付き委任 (KCD)アカウント

トラフィックポリシーを作成したらポリシーを仮想サーバユーザグループまたはグローバルにバインドできます

たとえばWebアプリケーション PeopleSoft事管理が内部ネットワークのサーバーにインストールされているとしますこのアプリケーションのトラフィックポリシーを作成して宛先 IPアドレスと宛先ポートを定義しユーザーがアプリケーションにログオンしたままにできる時間（15分など）を設定できます

アプリケーションへの HTTP圧縮などの他の機能を設定する場合はトラフィックポリシーを使して設定を構成できますポリシーを作成するときはアクションの HTTPパラメータを使します式でアプリケーションを実しているサーバーの宛先アドレスを作成します

トラフィックポリシーを設定するには

1 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［トラフィック］をクリックします


3 [トラフィックポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします

4 [プロファイルの要求]の横にある [新規]をクリックします


6 [プロトコル]で[HTTP]または [TCP]を選択します

注プロトコルとして [TCP]を選択した場合シングルサインオンは構成できず[プロファイル]ダイアログボックスで設定が無効になります

7 [AppTimeout (分)]に分数をしますこの設定によりユーザーがWebアプリケーションにログオンしたままにできる時間が制限されます

8 Webアプリケーションへのシングルサインオンを有効にするには「シングルサインオン」で「ON」を選択します

注フォームベースのシングルサインオンを使する場合はトラフィックプロファイル内で設定を構成できます詳しくは「フォームベースのシングルサインオンの設定」を参照してください

9 ファイルタイプの関連付けを指定するには「ファイルタイプの関連付け」で「ON」を選択します

10 リピータプラグインを使してネットワークトラフィックを最適化するには[ブランチリピータ]で [ON]を選択し[作成]をクリックして [閉じる]をクリックします


Citrix Gateway 130

11 アプライアンスで KCDを構成する場合は[KCDアカウント]でアカウントを選択します

アプライアンスでの KCDの設定の詳細については「NetScalerアプライアンスでの Kerberos制約付き委任の構成」を参照してください

12 [Create Traffic Policy]ダイアログボックスで式を作成または追加し[Create]をクリックし[Close]をクリックします


フォームベースのシングルサインオンの設定

April 9 2020

フォームベースのシングルサインオンによりユーザーはネットワーク内のすべての保護されたアプリケーションに度ログオンできますCitrix Gatewayでフォームベースのシングルサインオンを構成するとユーザーはパスワードを再しなくてもHTMLフォームベースのログオンを必要とするWebアプリケーションにアクセスできますシングルサインオンを使しない場合ユーザーは各アプリケーションにアクセスするために個別にログオンする必要があります

フォームのシングルサインオンプロファイルを作成したらフォームシングルサインオンプロファイルを含むトラフィックプロファイルとポリシーを作成します詳しくは「トラフィックポリシーの作成」を参照してください

フォームベースのシングルサインオンを構成するには


2 詳細ウィンドウで[フォーム SSOプロファイル]タブをクリックし[追加]をクリックします


4 [アクション URL]に完成したフォームの送信先の URLをします

注 URLはルート相対 URLです

5 [ユーザー名フィールド]にユーザー名フィールドの属性の名前をします

6「パスワードフィールド」にパスワードフィールドの属性の名前をします

7 [SSO成功規則]でポリシーによって呼び出されたときにこのプロファイルが実するアクションを記述する式を作成しますこのフィールドの下にある [接頭辞][追加]および [演算]ボタンを使して式を作成することもできます

このルールはシングルサインオンが成功したかどうかをチェックします


Citrix Gateway 130

8 [名前値のペア]にユーザー名フィールドの値をし続けてアンパサンド (amp)パスワードフィールドの値をします

値の名前はアンパサンド (amp)で区切りますたとえば名前 1 =値 1名前 2 =値 2です

9 [レスポンスサイズ]にレスポンスサイズ全体を許可するバイト数をしますフォームを抽出するために解析する応答のバイト数をします

10「抽出」で名前と値のペアが静的か動的かを選択します既定の設定は [動的]です

11 [送信法]でログオン資格情報をログオンサーバーに送信するためにシングルサインオンフォームで使する HTTP法を選択しますデフォルトは Getです



SAMLシングルサインオンの設定

March 26 2020

シングルサインオン (SSO)の SAML 11または SAML 20プロファイルを作成できますユーザーはシングルサインオンの SAMLプロトコルをサポートするWebアプリケーションに接続できますCitrix GatewayはSAMLWebアプリケーションのアイデンティティプロバイダー（IdP）シングルサインオンをサポートしています

SAMLシングルサインオンを構成するには


2 詳細ペインで[SAML SSOプロファイル]タブをクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にプロファイルの名前をします5「署名証明書名」にX509証明書の名前をします6 [ACS URL]にIDプロバイダーまたはサービスプロバイダーのアサーションコンシューマサービスをしますアサーションコンシューマーサービス URL（ACS URL）はユーザに SSO機能を提供します

7 [リレー状態規則]で[保存されたポリシー式]と [頻繁に使する式]からポリシーの式を作成します「演算」(Operator)リストからを選択し式の評価法を定義します式をテストするには[評価]をクリックします

8 [パスワードの送信]で [ON]または [OFF]を選択します9 [発者名]にSAMLアプリケーションの IDをします



Citrix Gateway 130


トラフィックポリシーのバインディング

March 26 2020

トラフィックポリシーは仮想サーバーグループユーザーおよび Citrix Gateway Globalにバインドできます設定ユーティリティを使してトラフィックポリシーをバインドできます

設定ユーティリティを使してトラフィックポリシーをグローバルにバインドするには


2 詳細ペインでポリシーを選択し[操作]で [グローバルバインド]をクリックします3 [トラフィックポリシーのバインドバインド解除]ダイアログボックスの [詳細]で[ポリシーの挿]をクリックします



トラフィックポリシーの削除

March 26 2020

どちらの構成ユーティリティーを使してCitrix Gatewayからトラフィックポリシーを削除できます設定ユーティリティを使してトラフィックポリシーを削除しポリシーをユーザグループまたは仮想サーバレベルにバインドする場合はまずポリシーをバインド解除する必要がありますその後ポリシーを削除できます

設定ユーティリティを使してトラフィックポリシーをバインド解除するには

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいますbull Citrix Gatewayを展開し［仮想サーバー］をクリックしますbull Citrix Gateway gt［ユーザー管理］の順に展開し［AAAグループ］をクリックしますbull Citrix Gateway gt［ユーザー管理］の順に展開し［AAAユーザー］をクリックします

2 詳細ウィンドウで仮想サーバーグループまたはユーザーを選択し[開く]をクリックします


Citrix Gateway 130

3 Citrix Gateway仮想サーバーの構成］［AAAグループの構成］または［AAAユーザーの構成］ダイアログボックスで［ポリシー］タブをクリックします

4 [トラフィック]をクリックしポリシーを選択して [ポリシーのバインド解除]をクリックします5 [OK]をクリックし[閉じる]をクリックします

トラフィックポリシーがバインド解除されたらポリシーを削除できます

設定ユーティリティを使してトラフィックポリシーを削除するには


2 詳細ペインの [ポリシー]タブでトラフィックポリシーを選択し[削除]をクリックします


セッションポリシーの設定

March 26 2020

セッションポリシーはユーザーグループ仮想サーバーおよびグローバルに適される式と設定の集合です

セッションポリシーを使してユーザー接続の設定を構成しますWindowsの Citrix GatewayプラグインやMacの Citrix Gatewayプラグインなどユーザーがログオンするソフトウェアの設定を定義できますまたユーザーが Citrix Workspaceアプリまたは Secure Hubを使してログオンするように設定することもできますセッションポリシーはユーザーが認証された後に評価され適されます

セッションポリシーは次の規則に従って適されます

bull セッションポリシーは常に設定のグローバル設定を上書きしますbull セッションポリシーを使して設定されていない属性またはパラメータは仮想サーバに対して確されたポリシーに設定されます

bull セッションポリシーまたは仮想サーバによって設定されないその他のアトリビュートはグローバル構成によって設定されます

重要次の順はセッションポリシーの作成に関する般的なガイドラインですクライアントレスアクセスや公開アプリケーションへのアクセスなどさまざまな設定のセッションポリシーを設定するための具体的な順があります順には特定の設定を構成するための指が含まれている場合がありますただしその設定はセッションプロファイルとポリシーに含まれる多くの設定の 1つになることがありますこの順ではセッションプロファイル内に設定を作成しそのプロファイルをセッションポリシーに適するように指されます新しいセッションポリシーを作成しなくてもプロファイルおよびポリシー内の設定を変更できますさらにグローバルレベルですべての設定を作成しグローバル設定を上書きするセッションポリシーを


Citrix Gateway 130

作成することもできます

ネットワークに Citrix Endpoint Managementまたは StoreFrontを展開する場合はクイック構成ウィザードを使してセッションポリシーとプロファイルを構成することをお勧めしますウィザードを実するときに配置の設定を定義します次に必要な認証セッションおよびクライアントレスアクセスポリシーが作成されます



2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 セッションプロファイルの設定を完了し[Create]をクリックします7 [セッションプロファイルの作成]ダイアログボックスでポリシーの式を追加し[作成][閉じる]の順にクリックします注意式で「True value」を選択するとポリシーがバインドされているレベルに常に適されます


セッションプロファイルの作成

April 9 2020

セッションプロファイルにはユーザー接続の設定が含まれます

セッションプロファイルはユーザーデバイスがポリシー式の条件を満たす場合にユーザーセッションに適されるアクションを指定しますプロファイルはセッションポリシーで使されます設定ユーティリティーを使してセッションポリシーとは別にセッションプロファイルを作成しそのプロファイルを複数のポリシーに使できますポリシーで使できるプロファイルは 1つだけです

セッションプロファイルでのユーザ接続のネットワーク設定の構成

セッションプロファイルの [ネットワーク構成]タブを使してユーザー接続の次のネットワーク設定を構成できます

bull DNSサーバー


Citrix Gateway 130

bull WINSサーバの IPアドレスbull イントラネット IPアドレスとして使できるマップされた IPアドレスbull アドレスプールのスピルオーバー設定 (イントラネット IPアドレス)bull イントラネット IP DNSサフィックスbull HTTPポートbull 強制タイムアウト設定

セッションプロファイルでの接続設定の構成

セッションプロファイルの [クライアントエクスペリエンス]タブを使して次の接続設定を構成できます

bull アクセスインターフェイスまたはカスタマイズされたホームページbull Webベースの電メールのWebアドレス (Outlook Web Accessなど)bull プラグインの種類（Windowsの場合は Citrix GatewayプラグインMac OS Xの場合は Citrix GatewayプラグインJavaの場合は Citrix Gatewayプラグイン）

bull 分割トンネリングbull セッションおよびアイドルタイムアウトの設定bull クライアントレスアクセスbull クライアントレスアクセス URLエンコーディングbull プラグインの種類 (WindowsMacまたは Java)bull Webアプリケーションへのシングルサインオンbull 認証のクレデンシャルインデックスbull Windowsでのシングルサインオンbull クライアントのクリーンアップ動作bull ログオンスクリプトbull クライアントのデバッグ設定bull 分割 DNSbull プライベートネットワーク IPアドレスおよびローカル LANアクセスへのアクセスbull クライアントの選択bull プロキシ設定

ユーザー接続の設定の詳細についてはCitrix Gatewayプラグインの接続を構成するを参照してください

セッションプロファイルでのセキュリティ設定の構成

セッションプロファイルの [セキュリティ]タブを使して次のセキュリティ設定を構成できます

bull デフォルトの承認アクション（許可または拒否）bull iOSデバイスからの接続の Secure Browsebull 隔離グループbull 承認グループ


Citrix Gateway 130

Citrix Gatewayでの認証の構成の詳細については「認可の設定」を参照してください

セッションプロファイルでの Citrix Virtual Apps and Desktops設定の構成

セッションプロファイルの［公開アプリケーション］タブを使してCitrix Virtual Apps and Desktopsを実しているサーバーへの接続について次の設定を構成できます

bull ICAプロキシCitrix Workspaceアプリを使したクライアント接続ですbull Web Interfaceのアドレスbull Web Interfaceポータルモードbull サーバーファームドメインへのシングルサインオンbull Citrix Workspaceアプリのホームページbull アカウントサービスアドレス

サーバーファーム内の公開アプリケーションに接続するための設定を構成する法についてはWeb Interfaceを使した公開アプリケーションおよび Virtual Desktopsへのアクセスの提供を参照してください

セッションプロファイルはセッションポリシーとは独して作成できますポリシーを作成するときにポリシーにアタッチするプロファイルを選択できます

構成ユーティリティを使してセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 プロファイルの設定を構成し[作成][閉じる]の順にクリックします

プロファイルを作成したらそれをセッションポリシーに含めることができます

構成ユーティリティを使してセッションポリシーにプロファイルを追加するには

1 構成ユーティリティのナビゲーションペインで[Access Gateway] gt [ポリシー]を展開し[セッション]をクリックします

2 [ポリシー]タブで次のいずれかの操作をいますbull [Add]をクリックして新しいセッションポリシーを作成しますbull ポリシーを選択し[Open]をクリックします

3「要求プロファイル」でリストからプロファイルを選択します4 セッションポリシーの構成を完了し次のいずれかの操作をいます

a) [Create]をクリックし[Close]をクリックしてポリシーを作成しますb) [OK]をクリックし[閉じる]をクリックしてポリシーを変更します



Citrix Gateway 130

セッションポリシーのバインド

March 26 2020

セッションポリシーを作成したらユーザーグループ仮想サーバーまたはグローバルにバインドしますセッションポリシーは次の順序で階層として適されます

bull ユーザーbull グループbull 仮想サーバーbull グローバル

構成ユーティリティを使してセッションポリシーをバインドするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで [Citrix Gateway]を展開し次のいずれかの操作をいます

a) [仮想サーバー]をクリックしますb) [ユーザ管理]を展開し[AAAグループ]をクリックしますc) [ユーザ管理]を展開し[AAAユーザ]をクリックします

2 順 1で選択した内容に応じて次のいずれかのダイアログボックスの [Policies]タブをクリックしますbull Citrix Gateway仮想サーバーの作成bull AAAグループの設定bull AAAユーザの設定

3 セッションポリシーを追加するには[セッション]をクリックします4 [ポリシーの挿]をクリックしセッションポリシーを選択して [OK]をクリックします


StoreFrontの Citrix Gatewayセッションポリシーの構成

April 9 2020

この記事ではCitrix WorkspaceアプリまたはWebブラウザを使しているユーザーに対してStoreFrontを使した Citrix Gatewayドメインのみの認証を構成する法について説明します

最要件

bull Citrix StoreFront 2xまたは 30


Citrix Gateway 130

bull Citrix ADC 105以降

bull Windows 4x向け Citrix Workspaceアプリ

bull Mac 118向け Citrix Workspaceアプリ

bull Webブラウザー（Web向け Citrix Workspaceアプリ）

bull「CTX108876-Citrix ADCアプライアンスで LDAP認証を構成する法」で説明されているようにCitrixADCアプライアンス上で構成された認証

bull StoreFront サーバーと Citrix Gateway に構成された SSL 証明書次のトピックの詳細についてはStoreFrontのドキュメントを参照してください

- StoreFront 26のインストールとセットアップ

ndash Windows 2012 Server証明書

ndash SSLバインドをサイトに追加するには

ndash Citrix ADCアプライアンス 105の証明書のインストールと管理

StoreFrontでの Citrix Gatewayの構成

Webブラウザベースのアクセスのセッションポリシーを作成する

1 セッションポリシーを作成するには［Citrix Gateway］gt［ポリシー］gt［セッション］の順に選択します

2 [セッションポリシー]フィールドで[追加]をクリックします

3［名前］フィールドにセッションポリシーの名前をしますたとえばWeb_ブラウザ _ポリシーなどです

4 +記号の付いたボックスをクリックします

5 Citrix Gatewayセッションプロファイルの設定］ウィンドウで新しいセッションプロファイルの名前をします

6 [クライアントエクスペリエンス]タブで次の設定を有効にします

bull クライアントレスアクセスOnに設定

bull Webアプリケーションへのシングルサインオンチェックボックスをオンにします

bull プラグインの種類 WindowsMAC OS Xに設定

7 [セキュリティ]タブで[既定の承認操作]を有効にし[許可]に設定します


Citrix Gateway 130

8 [公開アプリケーション]タブで次の設定を有効にします

bull ICAプロキシONに設定します

bull Web InterfaceアドレスStoreFrontサーバーの FQDNの後にWebストアへのパスが続きます

bull シングルサインオンドメイン -ドメインの NetBIOS名


10 クラシックポリシー式を使している場合は[式]フィールドに次の情報を追加し[作成]をクリックします

1 REQHTTPHEADER User-Agent NOTCONTAINS CitrixReceiver

11 詳細ポリシー式を使している場合は[式]フィールドに次の情報を追加し[作成]をクリックします

1 HTTPREQHEADER(rdquoUser-Agentrdquo)CONTAINS(rdquoCitrixReceiverrdquo)NOT

このポリシーはCitrix ADCがWebブラウザベースの接続と Citrix Workspaceアプリベースの接続を区別するために必要ですこのポリシーはWebブラウザベースの接続に適されます

WindowsまたはMacの Citrix Workspaceアプリおよび Citrix Gateway上のモバイルデバイスのセッションポリシーを作成する

1 Citrix Gateway gt［ポリシー］gt［セッション］に移動します


3［名前］フィールドにセッションポリシーの名前をしますたとえばReceiver_Policy




bull ホームページ「なし」に設定

bull 分割トンネル OFFに設定

bull クライアントレスアクセス[オン]に設定

bull Webアプリケーションへのシングルサインオンチェックボックスを選択します

bull プラグインの種類 Javaに設定


Citrix Gateway 130

7 [セキュリティ]タブで[既定の承認操作]を [許可]に設定します



bull Web Interfaceアドレス StoreFrontサーバーの FQDNに続いてストアへのパス

bull シングルサインオンドメインドメインの NetBIOS名

bull アカウントサービス所在地アカウントサービスの所在地をします最後のバックスラッシュは重要です



1 REQHTTPHEADER User-Agent CONTAINS CitrixReceiver


1 HTTPREQHEADER(rdquoUser-Agentrdquo)CONTAINS(rdquoCitrixReceiverrdquo)

このポリシーはCitrix ADCがWebブラウザベースの接続と Citrix Workspaceアプリベースの接続を区別するために必要ですこのポリシーはCitrix Workspaceアプリベースの接続に適されます

Citrix ADCアプライアンスで認証を構成する

Citrix ADCアプライアンスでの LDAP認証の構成についてはLDAP認証の構成を参照してください

Citrix Gateway仮想サーバーを作成しセッションポリシーをバインドする

1［Citrix Gateway］gt［仮想サーバー］に移動し［追加］をクリックして新しい仮想サーバーを追加します

2 仮想サーバーが作成されたら会社の要件に基づいて特定のセッションポリシーを仮想サーバーにバインドします

StoreFrontの認証を構成する

1 StoreFront上の Citrix Gatewayからのパススルー認証を有効にします詳しくは「認証サービスの構成」を参照してください

StoreFrontは認証コールバックサービスの Citrix Gateway仮想サーバーのバインドされた証明書（ルート証明書または中間証明書）の発元を信頼する必要があります


Citrix Gateway 130

2 Citrix Gatewayを StoreFrontに追加します詳しくは「Citrix Gateway接続の追加」を参照してください

ゲートウェイ URLはユーザがWebブラウザのアドレスバーにする内容と正確に致する必要があります

3 StoreFrontストアでリモートアクセスを有効にします詳しくは「Citrix Gatewayを介したストアへのリモートアクセスの管理」を参照してください


エンタープライズブックマークの度なポリシーサポート

March 26 2020

エンタープライズブックマーク (VPN URL)を度なポリシーとして設定できるようになりました

VPN URLを度なポリシーとして設定する

VPN URLを度なポリシーとして設定するには次のタスクを実する必要があります

bull VPN URLアクションを作成する

bull VPN URLポリシーの作成）

bull ポリシーをバインドポイントにバインドする

VPN URLアクションを作成する

コマンドプロンプトで次のコマンドをします

1 add vpn urlAction ltnamegt -linkName ltstringgt -actualURL ltstringgt [-vServerName ltstringgt] [-clientlessAccess ( ON | OFF )] [-comment ltstringgt] [-iconURL ltURLgt] [-ssotype ltssotypegt] [-applicationtype ltapplicationtypegt] [-samlSSOProfile ltstringgt]




Citrix Gateway 130





VPN URLアクションに対する以下の操作がサポートされています

bull add


bull set

1 set vpn urlAction ltnamegt [-vServerName ltstringgt] [-clientlessAccess ( ON | OFF )] [-comment ltstringgt] [-iconURL ltURLgt] [-ssotype ltssotypegt] [-applicationtype ltapplicationtypegt][-samlSSOProfile ltstringgt]

bull unset

1 unset vpn urlAction ltnamegt [-vServerName] [-clientlessAccess] [-comment] [-iconURL] [-ssotype] [-applicationtype] [-samlSSOProfile]

bull show

1 show vpn urlAction [ltnamegt]

bull remove


Citrix Gateway 130

1 remove vpn urlAction ltnamegt

bull rename

1 rename vpn urlAction ltnamegt ltnewNamegt

Following operations for VPN URL policy are supported

bull add

1 add vpn urlPolicy ltnamegt -rule ltexpressiongt -action ltstringgt [-comment ltstringgt] [-logAction ltstringgt]

bull set

1 set vpn urlPolicy ltnamegt [-rule ltexpressiongt] [-action ltstringgt][-comment ltstringgt] [-logAction ltstringgt]

bull unset

1 unset vpn urlPolicy ltnamegt [-comment] [-logAction]

bull show

1 show vpn urlPolicy [ltnamegt]

bull remove

1 remove vpn urlPolicy ltnamegt

bull rename

1 rename vpn urlpolicy ltnamegt ltnewNamegt

bull stat

1 stat vpn urlpolicy [ltnamegt] [-detail] [-fullValues] [-ntimes ltpositive_integergt] [-logFile ltinput_filenamegt] [-clearstats (basic | full )]

bull bind


Citrix Gateway 130

1 bind vpn vserver ltvserver namegt -policy ltstringgt -priority ltpositive_integergt [-gotoPriorityExpression ltexpressiongt]

2 bind vpn global -policyName ltstringgt -priority ltpositive_integergt[-gotoPriorityExpression ltexpressiongt]

3 bind aaa user ltuserNamegt -policy ltstringgt [-priority ltpositive_integergt] [-type lttypegt] [-gotoPriorityExpression ltexpressiongt]

4 bind aaa group ltgroupNamegt -policy ltstringgt [-priority ltpositive_integergt] [-type lttypegt] [-gotoPriorityExpression ltexpressiongt]

bull unbind

1 unbind vpn vserver ltnamegt -policy ltstringgt2 unbind vpn global -policyName ltstringgt3 unbind aaa user ltnamegt -policy ltstringgt4 unbind aaa group ltnamegt -policy ltstringgt

Note Bind Points are aaauser aaagroup vpnvserver and vpnglobal


エンドポイントポリシーの設定

March 26 2020

エンドポイント分析はユーザーデバイスをスキャンしオペレーティングシステムの存在やバージョンレベルウイルス対策ソフトウェアファイアウォールソフトウェアまたはWebブラウザソフトウェアなどの情報を検出するプロセスですエンドポイント分析を使してネットワークへの接続を許可するかユーザーがログオンした後も接続したままにする前にユーザーデバイスが要件を満たしていることを確認できますユーザーセッション中にユーザーデバイス上のファイルプロセスおよびレジストリエントリを監視してデバイスが引き続き要件を満たしていることを確認できます


エンドポイントポリシーのしくみ

March 26 2020


Citrix Gateway 130

ユーザーがログオンする前にユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認するように Citrix Gatewayを構成できますこれを事前認証ポリシーと呼びますポリシー内で指定したウイルス対策ファイアウォールスパム対策プロセスファイルレジストリエントリインターネットセキュリティまたはオペレーティングシステムについてユーザーデバイスをチェックするように Citrix Gatewayを構成できますユーザーデバイスが事前認証スキャンに失敗した場合ユーザーはログオンできません

事前認証ポリシーで使されない追加のセキュリティ要件を構成する必要がある場合はセッションポリシーを構成しユーザーまたはグループにバインドしますこのタイプのポリシーは認証後ポリシーと呼ばれウイルス対策ソフトウェアやプロセスなどの必要な項が確実に当てはまるようにユーザーセッション中に実されます

事前認証または認証後のポリシーを構成するとCitrix Gatewayはエンドポイント分析プラグインをダウンロードしスキャンを実しますユーザーがログオンするたびにエンドポイント分析プラグインが動的に実されます

エンドポイントポリシーを設定するには次の 3種類のポリシーを使します

bull yesまたは noパラメータを使する事前認証ポリシースキャンによってユーザーデバイスが指定した要件を満たしているかどうかが判断されますスキャンが失敗した場合ユーザーはログオンページで資格情報をできません

bull 条件付きでSmartAccessで使できるセッションポリシーbull セッションポリシー内のクライアントセキュリティ式ユーザーデバイスがクライアントセキュリティ式の要件を満たさない場合はユーザーを検疫グループに配置するように設定できますユーザーデバイスがスキャンにパスした場合ユーザーは別のグループに所属し追加のチェックが必要になる場合があります

検出された情報をポリシーに組み込んでユーザーデバイスに基づいて異なるレベルのアクセスを許可できますたとえば最新のウイルス対策ソフトウェアおよびファイアウォールソフトウェア要件を持つユーザーデバイスからリモートで接続するユーザーにダウンロード権限を持つフルアクセスを提供できます信頼されていないコンピュータから接続しているユーザーにはより制限されたレベルのアクセスを提供してユーザーがリモートサーバー上のドキュメントをダウンロードせずに編集することができます

エンドポイント分析では次の基本的な順が実されます

bull ユーザーデバイスに関する情報の初期セットを調べ適するスキャンを決定します

bull 適可能なすべてのスキャンを実しますユーザーが接続を試みるとEndpoint Analysisプラグインは事前認証またはセッションポリシーで指定された要件をユーザーデバイス上でチェックしますユーザーデバイスがスキャンにパスするとユーザーはログオンできますユーザーデバイスがスキャンに失敗した場合ユーザーはログオンできません注エンドポイント分析のスキャンはユーザーセッションがライセンスを使する前に完了します

bull ユーザーデバイス上で検出されたプロパティ値と設定したスキャンでリストされた必要なプロパティ値を較します

bull 必要なプロパティ値がつかったかどうかを検証する出を成します


Citrix Gateway 130

注意エンドポイント分析ポリシーの作成順は般的なガイドラインです1つのセッションポリシー内に多数の設定を使できますセッションポリシーを構成する具体的な順には特定の設定を構成するための指が含まれている場合がありますただしその設定はセッションプロファイルとポリシーに含まれる多くの設定の 1つになる場合があります


ユーザーログオンオプションの評価

March 26 2020

ユーザーがログオンするときにエンドポイント分析スキャンをスキップすることを選択できますユーザーがスキャンをスキップするとCitrix Gatewayはこのアクションを失敗したエンドポイント分析として処理しますユーザーがスキャンに失敗した場合Web Interfaceまたはクライアントレスアクセスでのみアクセスできます

たとえばCitrix Gatewayプラグインを使してユーザーにアクセスを許可する場合などですプラグインを使して Citrix Gatewayにログオンするにはユーザーがノートンアンチウイルスなどのウイルス対策アプリケーションを実している必要がありますユーザーデバイスでアプリケーションが実されていない場合ユーザーはReceiverでのみログオンし公開アプリケーションを使できますクライアントレスアクセスを構成することもできますこれによりOutlook Web Accessなどの特定のアプリケーションへのアクセスが制限されます

このログオンシナリオを実現するように Citrix Gatewayを構成するにはデフォルトのポリシーとして制限セッションポリシーを割り当てます次にユーザーデバイスがエンドポイント分析スキャンに合格したときに特権セッションポリシーにユーザーをアップグレードする設定を構成しますこの時点でユーザーはネットワークレイヤーにアクセスできCitrix Gatewayプラグインを使してログオンできます

最初に制限セッションポリシーを適するように Citrix Gatewayを構成するには次の順に従います

bull 指定したアプリケーションがユーザーデバイスで実されていない場合はICAプロキシを有効にしてグローバル設定をいその他の必要な設定をいます

bull Citrix Gatewayプラグインを有効にするセッションポリシーとプロファイルを作成します

bull セッションポリシーの規則部分内に次のような式を作成してアプリケーションを指定します

（クライアントアプリケーションプロセス（symantecexe）が存在する）

ユーザーがログオンすると最初にセッションポリシーが適されますエンドポイントの分析が失敗した場合またはユーザーがスキャンをスキップした場合Citrix Gatewayはセッションポリシーの設定を無視します（セッションポリシーの式は falseとみなされます）その結果ユーザはWeb Interfaceまたはクライアントレスアクセスを使したアクセスが制限されますエンドポイントの分析に成功するとCitrix Gatewayはセッションポリシーを適しユーザーは Citrix Gatewayプラグインを使してフルにアクセスできます


Citrix Gateway 130


事前認証ポリシーのプライオリティの設定

March 26 2020

異なるレベルにバインドされた複数の事前認証ポリシーを持つことができますたとえばAAA Globalにバインドされた特定のアンチウイルスアプリケーションをチェックするポリシーと仮想サーバにバインドされたファイアウォールポリシーがあるとしますユーザーがログオンすると仮想サーバーにバインドされているポリシーが最初に適されますAAA Globalでバインドされたポリシーが 2番に適されます

事前認証スキャンの順序を変更できますCitrix Gatewayでグローバルポリシーを適するには仮想サーバーにバインドされているポリシーの優先度番号を変更しグローバルにバインドされているポリシーよりもい優先度番号を設定しますたとえばグローバルポリシーのプライオリティ番号を 1に設定し仮想サーバポリシーを 2に設定しますユーザーがログオンするとCitrix Gatewayが最初にグローバルポリシースキャンを実し次に仮想サーバーポリシースキャンを実します

事前認証ポリシーの優先順位を変更するには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [ポリシー]タブで[事前認証]をクリックします4 [優先度]でポリシーの優先度番号をし[OK]をクリックします


事前認証ポリシーおよびプロファイルの設定

March 26 2020

警告

AAA事前認証ポリシーはNetScaler 120ビルド 5620以降では推奨です代わりにNfacCitrix認証を使することをお勧めします詳細については「多要素 (nFactor)認証」を参照してください


Citrix Gateway 130

ユーザーが認証される前にクライアント側のセキュリティをチェックするように Citrix Gatewayを構成できますこの法ではCitrix Gatewayとのセッションを確するユーザーデバイスがセキュリティ要件に準拠していることを保証しますクライアント側のセキュリティチェックは次の 2つの順で説明するように仮想サーバまたはグローバルに固有の事前認証ポリシーを使して設定します

事前認証ポリシーはプロファイルと式で構成されますユーザーデバイスでのプロセスの実を許可または拒否するアクションを使するようにプロファイルを構成しますたとえばテキストファイル clienttexttxtがユーザーデバイスで実されているとしますユーザーが Citrix Gatewayにログオンするときにテキストファイルが実されている場合はアクセスを許可または拒否できますプロセスの実中にユーザーにログオンを許可しない場合はユーザーがログオンする前にプロセスが停するようにプロファイルを構成します

事前認証ポリシーには次の設定を構成できます

bull Expression エクスプレッションの作成に役つ次の設定が含まれていますndash Expression 作成されたエクスプレッションをすべて表しますndash Match Any Expression 選択した式のリストにある式のいずれかに致するようにポリシーを設定します

ndash Match All Expressions 選択した式のリストに存在するすべての式に致するようにポリシーを設定します

ndash Tabular Expressions OR (||)または AND (ampamp)演算を使して既存の式を使して複合式を作成します

ndash Advanced Free-Form 式名とOR (||)および AND (ampamp)演算を使してカスタムの複合式を作成します必要なエクスプレッションのみを選択し選択したエクスプレッションのリストから他のエクスプレッションを省略します

ndash Add新しい式を作成しますndash Modify 既存の式を修正しますndash Remove-選択したエクスプレッションを複合エクスプレッションリストから削除しますndash Named Expressions 構成済みの名前付き式を選択しますCitrix Gatewayにすでに存在する式のドロップダウンリストから名前付き式を選択できます

ndash Add Expression 選択した名前付き式をポリシーに追加しますndash Replace Expression 選択した名前付き式をポリシーに置き換えますndash Preview Expression 名前付き式を選択したときに Citrix Gatewayで構成される詳細なクライアントセキュリティ字列が表されます

構成ユーティリティを使して事前認証プロファイルをグローバルに設定するには


2 詳細ウィンドウで[設定]の [事前認証設定の変更]をクリックします3 [グローバル事前認証設定]ダイアログボックスで次の設定を構成します

a)「アクション」で「許可」または「拒否」を選択します


Citrix Gateway 130

エンドポイントの分析後にユーザーがログオンすることを拒否または許可しますb)「取消するプロセス」にプロセスをしますエンドポイント分析プラグインで停するプロセスを指定します

c)「削除するファイル」にファイル名をしますエンドポイント分析プラグインによって削除するファイルを指定します

4 Expressionでは式を ns_trueのままにしておくかウイルス対策ソフトウェアやセキュリティソフトウェアなどの特定のアプリケーションの式を作成し[OK]をクリックします

構成ユーティリティを使して事前認証プロファイルを構成するには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway][ポリシー][認証承認]の順に展開し[認証前 EPA]をクリックします


3 [名前]に確認するアプリケーションの名前をします

4「アクション」で「使する」または「拒否」を選択します

5 [キャンセルするプロセス]に停するプロセスの名前をします

6 [削除するファイル]ボックスに削除するファイルの名前をします (cclientexttxtなど)[作成]をクリックし[閉じる]をクリックします

注記ファイルを削除したりプロセスを停したりすると確認を求めるメッセージが表されますステップ 5と 6はオプションのパラメータです

構成ユーティリティを使して事前認証プロファイルを構成する場合は[ポリシー]タブの [追加]をクリックして事前認証ポリシーを作成します[事前認証ポリシーの作成]ダイアログボックスで[要求プロファイル]ドロップダウンリストからプロファイルを選択します


エンドポイント分析式の設定

March 26 2020

事前認証およびクライアントセキュリティセッションポリシーにはプロファイルと式が含まれますポリシーには1つのプロファイルと複数の式を含めることができますユーザーデバイスをスキャンしてアプリケーションファイルプロセスまたはレジストリエントリを検索するにはポリシー内に式または複合式を作成します


Citrix Gateway 130

式のタイプ

式は式タイプと式のパラメータで構成されます式には次のタイプがあります

bull 般bull クライアントのセキュリティbull ネットワークベース

事前認証ポリシーへの事前設定式の追加

Citrix Gatewayには名前付き式と呼ばれる構成済みの式が付属していますポリシーを設定する場合ポリシーに名前付き式を使できますたとえば事前認証ポリシーでウイルス定義が更新された Symantec AntiVirus10の有無を確認するとします事前認証ポリシーを作成し次の順に従って式を追加します

事前認証またはセッションポリシーを作成するときにポリシーを作成するときに式を作成できますその後式を使してポリシーを仮想サーバに適するかグローバルに適できます

次の順では構成ユーティリティを使して構成済みのウイルス対策式をポリシーに追加する法について説明します

事前認証ポリシーに名前付き式を追加するには


2 詳細ペインでポリシーを選択し[開く]をクリックします3 [名前付き式]の横にある [アンチウイルス]を選択し覧からウイルス対策製品を選択し[式の追加][作成][閉じる]の順にクリックします


カスタム式の設定

March 26 2020

カスタム式はポリシー内に作成する式です式を作成するときは式のパラメータを設定します

カスタムクライアントセキュリティ式を作成してよく使されるクライアントセキュリティ字列を参照することもできますこれにより事前認証ポリシーの設定プロセスや設定済みの式のメンテナンスが容易になります

たとえばSymantec AntiVirus 10のカスタムのクライアントセキュリティ式を作成しウイルス定義が 3以内であることを確認します新しいポリシーを作成しウイルス定義を指定する式を構成します


Citrix Gateway 130

次の順は事前認証ポリシーでクライアントセキュリティポリシーを作成する法をしていますセッションポリシーで同じ順を使できます

事前認証ポリシーとカスタムクライアントセキュリティ式を作成するには


2 詳細ウィンドウで[追加]をクリックします[事前認証ポリシーの作成]ダイアログボックスが表されます3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [認証プロファイルの作成]ダイアログボックスの [名前]にプロファイルの名前をし[操作]で [許可]を選択し[作成]をクリックします

6 [事前認証ポリシーの作成]ダイアログボックスで[任意の式に致]の横にある [追加]をクリックします7「式の種類」で「クライアントセキュリティ」を選択します8 次のオプションを構成します

a) [コンポーネント]で[アンチウイルス]を選択しますb) [名前]にアプリケーションの名前をしますc)「修飾」で「バージョン」を選択しますd)「演算」で「= =」を選択しますe) [値]に値をしますf) [鮮度]に 3とし[OK]をクリックします

9 [事前認証ポリシーの作成]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします

カスタム式を構成するとポリシーダイアログボックスの [式]ボックスにカスタム式が追加されます


複合式を設定する

April 9 2020

事前認証ポリシーには1つのプロファイルと複数の式を含めることができます複合式を設定する場合は演算を使して式の条件を指定しますたとえば複合式を構成してユーザーデバイスで次のいずれかのウイルス対策アプリケーションの実を要求できます

bull Symantec Antivirus 10bull McAfee Antivirus 11bull Sophos Antivirus 4


Citrix Gateway 130

上記の 3つのアプリケーションを確認するにはOR演算を使して式を構成しますCitrix Gatewayがユーザーデバイス上のアプリケーションの正しいバージョンを検出するとユーザーはログオンできますポリシーダイアログボックスの式は次のように表されます

av_5_Symantec_10 av_5_McAfeevirusscan_11 av_5_sophos_4

複合エクスプレッションの詳細については「複合式を設定する」を参照してください


事前認証ポリシーのバインド

March 26 2020

事前認証またはクライアントセキュリティセッションポリシーを作成したらポリシーを適するレベルにバインドします事前認証ポリシーは仮想サーバにまたはグローバルにバインドできます

事前認証ポリシーをグローバルに作成およびバインドするには


2 詳細ウィンドウで[事前認証設定の変更]をクリックします3 [グローバル事前認証設定]ダイアログボックスの [操作]で[許可]または [拒否]を選択します4 [名前]にポリシーの名前をします5 [グローバル事前認証 settigns]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします

事前認証ポリシーを仮想サーバにバインドするには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［ポリシー］タブをクリックし［事前認証］をクリックします

4 [詳細]の [ポリシーの挿]をクリックし[ポリシー名]で事前認証ポリシーを選択します5［OK］をクリックします


Citrix Gateway 130


事前認証ポリシーのバインド解除と削除

March 26 2020

必要に応じてCitrix Gatewayから事前認証ポリシーを削除できます事前認証ポリシーを削除する前に仮想サーバからまたはグローバルにバインド解除します

グローバルな事前認証ポリシーをバインド解除するには


2 詳細ペインでポリシーを選択し[操作]で [グローバルバインド]をクリックします3 [事前認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスでポリシーを選択し[ポリシーのバインド解除]をクリックして[OK]をクリックします

仮想サーバから事前認証ポリシーをバインド解除するには


2 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［ポリシー］タブをクリックし［事前認証］をクリックします

3 ポリシーを選択し[ポリシーのバインド解除]をクリックします

事前認証ポリシーがバインド解除されている場合はCitrix Gatewayからポリシーを削除できます

事前認証ポリシーを削除するには


2 でポリシーを選択し[削除]をクリックします



Citrix Gateway 130

認証後ポリシーの設定

April 9 2020

認証後のポリシーはセッションをアクティブに保つためにユーザーデバイスが満たす必要のある汎規則のセットですポリシーが失敗するとCitrix Gatewayへの接続は終了します認証後のポリシーを構成する場合条件付きにできるユーザー接続の設定を構成できます

注この機能はCitrix Gatewayプラグインでのみ機能しますユーザーが Citrix Workspaceアプリでログオンした場合エンドポイント分析スキャンはログオン時にのみ実されます

セッションポリシーを使して認証後のポリシーを設定しますまずポリシーを適するユーザーを作成します次にユーザーをグループに追加します次にセッショントラフィックポリシーおよびイントラネットアプリケーションをグループにバインドします

承認グループとしてグループを指定することもできますこのタイプのグループではセッションポリシー内のクライアントセキュリティ表現に基づいてユーザーをグループに割り当てることができます

またユーザーデバイスがポリシーの要件を満たしていない場合にユーザーを隔離グループにれるように認証後のポリシーを設定することもできます単純なポリシーにはクライアントセキュリティ式とクライアントセキュリティメッセージが含まれますユーザーが検疫グループに属している場合ユーザーは Citrix Gatewayにログオンできますがネットワークリソースへのアクセスは制限されます

同じセッションプロファイルとポリシーを使して承認グループと検疫グループを作成することはできません認証後のポリシーを作成する順は同じですセッションポリシーを作成するときは承認グループまたは検疫グループを選択します2つのセッションポリシーを作成し各ポリシーをグループにバインドできます

認証後のポリシーはSmartAccessでも使されますSmartAccessについて詳しくは「Citrix GatewayでのSmartAccess構成」を参照してください



March 26 2020

セッションポリシーを使して認証後のポリシーを構成します単純なポリシーにはクライアントセキュリティ式とクライアントセキュリティメッセージが含まれます


Citrix Gateway 130

認証後のポリシーを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [クライアントセキュリティ]で[グローバルに上書き]をクリックし[新規]をクリックします8 クライアントセキュリティ式を構成し[Create]をクリックします9 [Client Security]の [検疫グループ]でグループを選択します

10 [エラーメッセージ]に認証後のスキャンが失敗した場合にユーザーに受信させるメッセージをします11 [承認グループ]の [グローバルに上書き]をクリックしグループを選択して [追加]をクリックし[OK]をクリックして[作成]をクリックします



認証後スキャンの頻度の設定

April 9 2020

指定した間隔で認証後のポリシーを実するように Citrix Gatewayを構成できますたとえばクライアントセキュリティポリシーを構成し10分ごとにユーザーデバイスで実するとしますこの頻度はポリシー内でカスタム式を作成することによって設定できます

注認証後のポリシーの頻度チェック機能はCitrix Gatewayプラグインでのみ機能しますユーザーがCitrix Workspaceアプリでログオンした場合エンドポイント分析スキャンはログオン時にのみ実されます

この順認証後ポリシーの設定に従ってクライアントセキュリティポリシーを構成するときに頻度 (分単位)を設定できます次の図は[式の追加]ダイアログボックスで頻度値をできる場所をしています

図 1認証後のスキャンの頻度を設定するためのダイアログボックス



Citrix Gateway 130

検疫および認可グループの設定

March 26 2020

ユーザーが Citrix GatewayにログオンするとCitrix Gatewayまたはセキュリティで保護されたネットワーク内の認証サーバーで構成したグループに割り当てられますユーザーが認証後のスキャンに失敗した場合そのユーザーを検疫グループと呼ばれる制限されたグループに割り当てることができますこれによりネットワークリソースへのアクセスが制限されます

また認可グループを使してネットワークリソースへのユーザーアクセスを制限することもできますたとえば電メールサーバーとファイル共有にのみアクセスできる契約担当者のグループがあるとしますユーザーデバイスが Citrix Gatewayで定義したセキュリティ要件に合格するとユーザーは動的にグループのメンバーになることができます

ユーザーグループまたは仮想サーバーにバインドされた検疫グループと承認グループを構成するにはグローバル設定またはセッションポリシーのいずれかを使しますセッションポリシー内のクライアントセキュリティ表現に基づいてユーザーをグループに割り当てることができますユーザーがグループのメンバーである場合CitrixGatewayはグループメンバーシップに基づいてセッションポリシーを適します


隔離グループの設定

March 26 2020

隔離グループを構成する場合セッションプロファイル内の [セキュリティ設定-詳細設定]ダイアログボックスを使してクライアントセキュリティ式を構成します

検疫グループのクライアントセキュリティ式を構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [クライアントセキュリティ]で[グローバルに上書き]をクリックし[新規]をクリックします


Citrix Gateway 130

8 [クライアント式]ダイアログボックスでクライアントセキュリティ式を構成し[作成]をクリックします9 [検疫グループ]でグループを選択します

10 [エラーメッセージ]でユーザーの問題を説明するメッセージをし[作成]をクリックします11 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします

セッションポリシーを作成したらユーザーグループまたは仮想サーバーにバインドします

注

エンドポイント分析スキャンが失敗しユーザーが検疫グループにった場合検疫グループにバインドされたポリシーはその検疫グループにバインドされたポリシーと同等または低い優先順位を持つユーザーに直接バインドされたポリシーがない場合にのみ有効になります

グローバル隔離グループを構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブで[詳細設定]をクリックします4 [クライアントセキュリティ]でクライアントセキュリティ式を構成します5 [検疫グループ]でグループを選択します6 [エラーメッセージ]でユーザーの問題を説明するメッセージをし[OK]をクリックします


認可グループの設定

March 26 2020

エンドポイント分析スキャンを設定する場合ユーザーデバイスがスキャンに合格したときにユーザーを許可グループに動的に追加できますたとえばユーザーデバイスのドメインのメンバーシップをチェックするエンドポイント分析スキャンを作成しますCitrix Gatewayでドメインに参加したコンピュータと呼ばれるローカルグループを作成しスキャンに合格したユーザーの承認グループとして追加しますユーザーがグループに参加するとユーザーはグループに関連付けられたポリシーを継承します

認可ポリシーをグローバルにバインドすることも仮想サーバにバインドすることもできませんユーザーが CitrixGateway上の別のグループのメンバーとして構成されていない場合承認グループを使してデフォルトの承認ポリシーセットを提供できます


Citrix Gateway 130

セッションポリシーを使して承認グループを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [承認グループ]の [グローバルに上書き]をクリックしドロップダウンリストからグループを選択し[追加]をクリックして [OK]をクリックし[作成]をクリックします


セッションポリシーを作成したらユーザーグループまたは仮想サーバーにバインドできます

グローバル認可グループを設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブで[詳細設定]をクリックします4 [承認グループ]でドロップダウンリストからグループを選択し[追加]をクリックし[OK]を 2回クリックします

承認グループをグローバルにまたはセッションポリシーから削除する場合は[セキュリティの設定-詳細]ダイアログボックスでリストから承認グループを選択し[削除]をクリックします


ユーザデバイスのセキュリティ事前認証式の設定

March 26 2020

Citrix Gatewayではユーザーのログオン時やセッション中の他の構成時にさまざまなエンドポイントセキュリティチェックが提供されセキュリティの向上に役ちますCitrix Gatewayセッションを確できるのはこれらのセキュリティチェックに合格したユーザーデバイスだけです

Citrix Gateway上で構成できるユーザーデバイスのセキュリティチェックの種類を次にします


Citrix Gateway 130

bull アンチスパムbull アンチウイルスbull ファイルポリシーbull インターネットセキュリティbull OSbull パーソナルファイアウォールbull プロセスポリシーbull レジストリポリシーbull サービスポリシー

ユーザーデバイスでセキュリティチェックが失敗した場合後続のチェックに合格するまで新しい接続はわれません（定期的なチェックの場合）ただし既存の接続を通過するトラフィックはCitrix Gatewayを経由してトンネルされ続けます

設定ユーティリティを使するとユーザデバイス上でセキュリティチェックを実するように設計されたセッションポリシー内で事前認証ポリシーまたはセキュリティ表現を設定できます


ウイルス対策ファイアウォールインターネットセキュリティまたはスパム対策の式を構成する

March 26 2020

ウイルス対策ポリシーファイアウォールポリシーインターネットセキュリティポリシーおよびスパム対策ポリシーの設定は[式の追加]ダイアログボックスでいます各ポリシーの設定は同じです相違点は選択した値ですたとえばNorton AntiVirusバージョン 10および ZoneAlarm Proのユーザーデバイスを確認する場合はセッションポリシーまたは事前認証ポリシー内で各アプリケーションの名前とバージョン番号を指定する 2つの式を作成します

式の種類として [Client Security]を選択すると次の項を構成できます

bull コンポーネントアンチウイルスファイアウォールレジストリエントリなどクライアントセキュリティのタイプ

bull 名前アプリケーションプロセスファイルレジストリエントリまたはオペレーティングシステムの名前bull 修飾式がチェックするコンポーネントのバージョンまたは値bull 演算値が存在するか値と等しいかどうかをチェックしますbull 値ユーザーデバイス上のアンチウイルスファイアウォールインターネットセキュリティまたはスパム対策ソフトウェアのアプリケーションバージョンです

bull 頻度認証後のスキャンを実する頻度 (分単位)


Citrix Gateway 130

bull エラー重み複数の式が異なるエラー字列を持つ場合にネストされた式に含まれる各エラーメッセージに割り当てられた重み重みによって表されるエラーメッセージが決まります

bull 新鮮さウイルス定義がどれくらい古いかを定義しますたとえばウイルス定義が 3以内に経過しないように式を構成できます

クライアントセキュリティポリシーを事前認証またはセッションポリシーに追加するには

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいますa) 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［セッション］をクリックします

b) 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway][ポリシー][認証承認]の順に展開し[認証前 EPA]をクリックします

2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [任意の式と致]の横にある [追加]をクリックします5 [式の追加]ダイアログボックスの [式の種類]で[クライアントセキュリティ]を選択します6 次の設定をいます

a)「コンポーネント」でスキャンするアイテムを選択しますb) [名前]にアプリケーションの名前をしますc)「修飾」で「バージョン」を選択しますd)「演算」で値を選択しますe) [値]にクライアントのセキュリティ字列をし[OK]をクリックし[作成]をクリックして [閉じる]をクリックします


サービスポリシーの設定

March 26 2020

サービスはユーザーデバイス上でサイレントに実されるプログラムですセッションまたは事前認証ポリシーを作成するときにセッションが確されたときにユーザーデバイスが特定のサービスを確実に実するようにする式を作成できます

サービスポリシーを設定するには

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいます


Citrix Gateway 130

a) 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［セッション］をクリックします



a)「コンポーネント」で「サービス」を選択しますb) [名前]にサービスの名前をしますc)「修飾」で空のままにするか「バージョン」を選択しますd)「修飾」での選択に応じて次のいずれかの操作をいます

bull 空のままの場合は「演算」で「==」または「」を選択します=bull [バージョン]を選択した場合は[演算]の [値]に値をし[OK]をクリックして[閉じる]をクリックします

使可能なすべてのサービスの覧と次の場所にあるWindowsベースのコンピュータ上の各サービスの状態を確認できます

[コントロールパネル] gt [管理ツール] gt [サービス]

注各サービスのサービス名はリストされている名前とは異なります[プロパティ]ダイアログボックスを表してサービスの名前を確認します


プロセスポリシーの設定

March 26 2020

セッションまたは事前認証ポリシーを作成するときにユーザーのログオン時にすべてのユーザーデバイスに特定のプロセスが実されるように要求するルールを定義できますこのプロセスは任意のアプリケーションでありカスタマイズされたアプリケーションを含むことができます

注Windowsベースのコンピューターで実されているすべてのプロセスの覧はWindowsタスクマネージャーの [プロセス]タブに表されます


Citrix Gateway 130

プロセスポリシーを設定するには




a)「コンポーネント」で「プロセス」を選択しますb) [名前]にアプリケーションの名前をしますc)「演算」で「EXISTS」または「NOTEXISTS」を選択し「OK」をクリックして「閉じる」をクリックします

エンドポイント分析ポリシー（事前認証または認証後）を設定してプロセスをチェックする場合MD5チェックサムを設定できます

ポリシーの式を作成するときにチェックするプロセスにMD5チェックサムを追加できますたとえばユーザーデバイス上で notepadexeが実されているかどうかを確認する場合式は次のようになりますCLIENTAPPLICATIONPROCESS(notepadexe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS


オペレーティングシステムポリシーの構成

March 26 2020

セッションまたは事前認証ポリシーを作成するときにクライアントのセキュリティ字列を構成してユーザーのログオン時にユーザーデバイスが特定のオペレーティングシステムを実しているかどうかを判断できますまた式を構成して特定の Service Packまたは修正プログラムを確認することもできます

WindowsおよびMacintoshの値は次のとおりです

OS 値

Mac OS X macos

Windows 81 win81


Citrix Gateway 130

OS 値

Windows 8 win8

Windows 7 win7

Windows Vista vista

Windows XP winxp

Windows Server 2008 win2008


Windows 2000 Server win2000

Windows 64-bit platform win64

オペレーティングシステムポリシーを構成するには




a)「コンポーネント」で「オペレーティングシステム」を選択しますb) [名前]にオペレーティングシステムの名前をしますc)「修飾」で次のいずれかの操作をいます

bull 空のままにしますbull [サービスパック]を選択しますbull「修正プログラム」を選択しますbull「バージョン」(Mac OS Xのみ)を選択します

d) 順 Cでの選択に応じて「演算」で次のいずれかの操作をいますbull 修飾が空の場合は「演算」で「等式 (= =)」「NOTEQUAL (」=)存在または注意事項bull [サービスパック]または [修正プログラム]を選択した場合は演算を選択し[値]に値をします


clientos（winxp）spなどのサービスパックを構成する場合［値］フィールドに数値が含まれていない場合式が


Citrix Gateway 130

無効であるためCitrix Gatewayからエラーメッセージが返されます

オペレーティングシステムに Service Pack 3や Service Pack 4などのサービスパックが存在する場合はServicePack 4の存在が動的に以前のサービスパックが存在することをすためService Pack 4のチェックのみを構成できます


レジストリポリシーの構成

March 26 2020

セッションまたは事前認証ポリシーを作成するときにユーザーデバイス上のレジストリエントリの存在と値を確認できますセッションが確されるのは特定のエントリが存在するか設定済みまたはそれ以上の値がある場合だけです

レジストリ式を設定する場合は次のガイドラインに従ってください

bull 4つのバックスラッシュはキーとサブキーを区切るために使されますたとえば

HKEY_LOCAL_MACHINESOFTWARE

bull アンダースコアはサブキーと関連する値の名前を区切るために使されますたとえば

HKEY_LOCAL_MACHINESOFTWAREVirusSoftware_Version

bull バックスラッシュ ()は次の 2つの例のようにスペースを表すために使されます

HKEY_LOCAL_MACHINESOFTWARECitrixSecure Access Client_ProductVersion

CLIENTREG(HKEY_LOCAL_MACHINESoftwareSymantecNorton AntiVirus_Version)VALUE== 12804 -frequency 5

以下はユーザーのログオン時に Citrix Gatewayプラグインのレジストリキーを検索するレジストリ式です

CLIENTREG(secureaccess)VALUE==HKEY_LOCAL_MACHINESOFTWARECITRIXSecureAccessClient_ProductVersion

注意レジストリキーと値をスキャンし「式」ダイアログボックスで「度なフリーフォーム」を選択した場合式はCLIENTREGで始まる必要があります

レジストリチェックは次の最も般的な 5つのタイプでサポートされています

bull HKEY_CLASSES_ROOTbull HKEY_CURRENT_USERbull HKEY_LOCAL_MACHINE


Citrix Gateway 130

bull HKEY_USERSbull HKEY_CURRENT_CONFIG

チェックするレジストリ値は次のタイプを使します

bull 字列

字列値の型の場合字と字の区別がチェックされます

bull DWORD

DWORD型の場合値は較され等しくなければなりません

bull 展開された字列

バイナリやマルチストリングなどの他の型はサポートされていません

bull rsquo==rsquo較演算のみがサポートされています

bull ltgtなどの較演算や字と字を区別する較演算はサポートされていません

bull レジストリ字列のさの合計は 256バイト未満である必要があります

式に値を追加できます値にはソフトウェアバージョンサービスパックのバージョンまたはレジストリに表されるその他の値を指定できますレジストリ内のデータ値がテスト対象の値と致しない場合ユーザーはログオンを拒否されます

注サブキー内の値をスキャンすることはできませんスキャンは名前付きの値と関連するデータ値と致する必要があります

レジストリポリシーを構成するには




a)「コンポーネント」で「レジストリ」を選択しますb) [名前]にレジストリキーの名前をしますc)「修飾」で空のままにするか「値」を選択しますd)「演算」で次のいずれかの操作をいます

bull 修飾が空のままの場合は[存在する]または [メモ]を選択します


Citrix Gateway 130

bull「修飾」で「値」を選択した場合は「==」または「」のいずれかを選択します==e) [値]でレジストリエディターに表される値をし[OK]をクリックし[閉じる]をクリックします


複合クライアントセキュリティ式の設定

March 26 2020

クライアントセキュリティ字列を組み合わせて複合クライアントセキュリティ式を作成できます

Citrix Gatewayでサポートされているブール演算は次のとおりです

bull And (ampamp)bull Or (||)bull Not ()

精度をめるために括弧を使して字列をグループ化することができます

注コマンドラインを使して式を設定する場合は複合式を作成するときにカッコを使してセキュリティ式をグループ化しますカッコを使するとクライアント式の理解とデバッグが向上します

AND (ampamp)演算を使したポリシーの構成

AND (ampamp)演算は2つのクライアントセキュリティ字列を組み合わせて機能し両のチェックが trueの場合にのみ複合チェックに合格するようにします式は左から右に評価され最初のチェックが失敗した場合2番のチェックは実されません

AND（ampamp）演算はキーワード「AND」または記号rsquoampampamprsquoを使して構成できます

例

以下はユーザーデバイスにバージョン 70の Sophos AntiVirusがインストールされ実されているかどうかを判断するクライアントセキュリティチェックですまた同じコンピュータ上で netlogonサービスが実されているかどうかも確認します

CLIENTAPPLICATIONAV(sophos)version==70 AND CLIENTSVC(netlogon) EXISTS

この字列は次のように設定することもできます

CLIENTAPPLICATIONAV(sophos)version==70 ampamp CLIENTSVC(netlogon) EXISTS


Citrix Gateway 130

OR (||)演算を使したポリシーの構成


Citrix Gateway 130

OR ( ）演算は2つのセキュリティ字列を組み合わせることによって機能しますいずれかのチェックが trueの場合複合チェックは合格します式は左から右に評価され最初のチェックが合格した場合2番のチェックは実されません最初のチェックが合格しない場合は2番のチェックが実されます

次を構成できますOR（

)演算次を使lsquoORrsquoまたは記号rsquo

rsquo

例

以下はユーザーデバイスにファイル cfiletxtがあるかputtyexeプロセスが実されているかを判断するクライアントのセキュリティチェックです

clientfile(cfiletxt) EXISTS) OR (clientproc(puttyexe) EXISTS

この字列は次のように構成できます

clientfile(cfiletxt)EXISTS)

(clientproc(puttyexe) EXISTS

NOT ( ) 演算を使したポリシーの構成

NOT () または否定演算はクライアントのセキュリティ字列を否定します

例

ファイル csophos_virus_defsdatファイルが 2以内に経過している場合次のクライアントセキュリティチェックはパスします

(clientfile(csophos_virus_defsdat)timestamp==2dy)



Citrix Gateway 130

度なエンドポイント分析スキャン

March 26 2020

度なエンドポイント分析（EPA）はCitrix Gatewayアプライアンス上で構成されたエンドポイントセキュリティ要件についてユーザーデバイスをスキャンするために使されますユーザーデバイスが Citrix Gatewayアプライアンスにアクセスしようとすると管理者が Citrix Gatewayアプライアンスへのアクセスを許可する前にデバイス上でオペレーティングシステムウイルス対策Webブラウザーのバージョンなどのセキュリティ情報がスキャンされます

度な EPAスキャンはポリシーベースのスキャンでCitrix Gatewayアプライアンスで事前認証セッションと認証後のセッションを構成できますポリシーはユーザーデバイスでレジストリチェックを実し評価に基づいてCitrix ADCネットワークへのアクセスを許可または拒否します

EPAスキャンにはOPSWATスキャンとシステムスキャンの 2種類があります次のセクションではスキャンの種類とその詳細について説明します

OPSWATスキャンスキャンメカニズムは次のようなさまざまなレベルでセキュリティを提供します

bull 製品固有のスキャンbull ベンダー固有のスキャンbull 汎スキャン

製品固有のスキャン特定の製品 (例Avast 特定のベンダー（例AVAST Software as）が提供する無料アンチウイルス（例アンチウイルス）アクセスは指定した条件を満たすコンピューターにのみ許可されます

ベンダー固有のスキャン特定のベンダー（例AVAST Software as）のスキャン基準を設定できます（例ウイルス対策)構成済みのスキャンではベンダーが提供するすべての製品について指定した基準がチェックされますアクセスは指定した条件を満たすコンピューターにのみ許可されます

汎スキャン特定のカテゴリのスキャン基準を設定できます (例ウイルス対策)構成済みのスキャンではすべてのベンダーおよびベンダーが提供する製品について指定された基準がチェックされますアクセスは指定した条件を満たすコンピューターにのみ許可されます

システムスキャンシステムスキャンはMACアドレスなどのシステムレベルの属性にセキュリティを提供しますシステム属性（MACアドレスなど）のスキャン基準を設定できますアクセスは指定した条件を満たすコンピューターにのみ許可されます


度なエンドポイント分析スキャンの設定

March 26 2020


Citrix Gateway 130

EPAスキャンにはOPSWATスキャンとシステムスキャンの 2種類を設定できます

OPSWATスキャンの設定

以下の OPSWATスキャンはCitrix Gatewayアプライアンス上で構成されます


注特定の製品でサポートされているスキャンはGUIに表されますまた次の OPSWATスキャン設定では事前認証 EPAを例として採していますOPSWATスキャンは認証後の EPAにも設定できます

製品固有のOPSWATスキャンの設定

NetScaler GUIを使して製品固有の OPSWATスキャンを構成するには次の順に従います

1「構成」gt「Citrix NetScalergt「グローバル設定」に移動します

2 [グローバル設定]ページで[事前認証設定の変更]リンクをクリックします

3 [ AAA事前認証パラメータの設定]ページで[ OPSWAT EPAエディタ]リンクをクリックします

4 [式エディタ]領域でオペレーティングシステムを選択します

5 カテゴリ（アンチウイルスなど）を選択します

6 ベンダー（例AVASTソフトウェア as）を選択します

7 製品を選択しますたとえばAvast 無料アンチウイルス

8 製品ドロップダウンメニューの隣にある [ + ]をクリックして製品スキャンを設定します

9 定期スキャンをう場合は必要に応じてスキャン頻度の値をします

ベンダー固有のOPSWATスキャンの設定

NetScaler GUIを使してベンダー固有の OPSWATスキャンを構成するには次の順に従います








Citrix Gateway 130

7 汎「AVASTソフトウェア」を選択しますベンダー固有のスキャンをスキャンします

8 製品ドロップダウンメニューの隣にある [ + ]をクリックしてスキャンを設定します


汎OPSWATスキャンの設定

NetScalerの GUIを使して汎 OPSWATスキャンを構成するには次の順に従います



3 [AAA事前認証パラメータの設定]ページで[ OPSWAT EPAエディタ]リンクをクリックします



6「汎」カテゴリ固有のスキャン（「汎ウイルス対策製品スキャン」など）を選択します


8 定期スキャンをう場合は必要に応じてスキャンの頻度の値をします

システムスキャンの設定

Citrix Gatewayアプライアンスでは次のシステムスキャンが構成されます

bull MACアドレスbull ドメインチェックbull 数値レジストリbull 数値レジストリbull Windows Update

NetScaler GUIを使して OPSWATシステムスキャンを構成するには次の順に従います





5 ドロップダウンメニューから的のシステムスキャンを選択しますたとえばMACアドレスなどです




Citrix Gateway 130

EPAライブラリのアップグレード

NetScaler GUIを使して EPAライブラリをアップグレードするには次の順に従います

1「構成」gt「Citrix NetScalergt「クライアントコンポーネントの更新」の順に選択します

2 [クライアントコンポーネントの更新]で [ EPAライブラリのアップグレード]リンクをクリックします

3 必要なファイルを選択し[アップグレード]をクリックします

Citrix ADC スキャンで OPSWAT がサポートする Windows および MAC アプリケーションの覧についてはhttpssupportcitrixcomarticleCTX207623をクリックしてください

度なエンドポイント分析式を使して事前認証プロファイルを設定するには

1 構成ユーティリティーのナビゲーションペインで［Citrix Gateway］ノードを展開し［ポリシー］サブノードを展開します

2 [事前認証]を選択します3 詳細ウィンドウの [プロファイル]タブで[追加]をクリックします4 プロファイルの名前をします5 アクションを選択します6 オプションで停するプロセスまたはクライアントエンドポイントシステム上で削除するファイルの名前をします


プロファイルはリクエストアクションとして事前認証ポリシーで使できるようになりました

度なエンドポイント分析式を使して事前認証ポリシーを設定するには


2 [事前認証]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5「アクションの要求」メニューから的のプロファイルを選択します6 [式]ペインで[OPSWAT EPAエディタ]を選択します7 最初のプルダウンメニューでクライアントオペレーティングシステムを選択します8 表される 2番のプルダウンメニューでスキャンの種類を選択します9 ポリシーの構築が完了したら[Create]をクリックします

度なエンドポイント分析事前認証ポリシーをバインドして有効にする必要があります


Citrix Gateway 130

事前認証ポリシーをバインドするには


2 [事前認証]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4「アクション」メニューから「グローバルバインディング」を選択します5［バインド］をクリックします6 表される [Policies]詳細ペインで的のポリシーの横にあるチェックボックスをオンにします7［Insert］をクリックします8 ポリシーには動的にプライオリティ（重み）が割り当てられます[優先順位]エントリをクリックして必要に応じて編集します

9 [OK]をクリックしてポリシーをバインドします

特定のセッションに対して度なエンドポイント分析ポリシーを設定するには


2「セッション」を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5 [操作]メニューで次のいずれかの操作をいます

bull a 既存のアクションを選択しますbull b プラスアイコンをクリックするとセッションポリシーで設定できる構成パラメータが表されます構成オプションの右側にある「オーバーライド」(Override Global)チェックボックスをクリックしてアクティブにします［Create］を選択します

6 [式]ペインで[OPSWAT EPAエディタ]を選択します7 最初のプルダウンメニューでクライアントオペレーティングシステムを選択します8 表される 2番のプルダウンメニューでスキャンの種類を選択します9 ポリシーの構築が完了したら[Create]をクリックします

アドバンスドエンドポイント分析セッションポリシーをバインドして有効にする必要があります

セッションポリシーをバインドするには


2「セッション」を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4「アクション」メニューから「グローバルバインディング」を選択します


Citrix Gateway 130

5［バインド］をクリックします6 表される [Policies]詳細ペインで的のポリシーの横にあるチェックボックスをオンにします7［Insert］をクリックします8 ポリシーには動的にプライオリティ（重み）が割り当てられます[優先順位]エントリをクリックして必要に応じて編集します



度なエンドポイント分析ポリシー式リファレンス

March 26 2020

このリファレンスでは度なエンドポイント分析式の形式と構成について説明しますここに含まれる式要素はCitrix Gateway構成ユーティリティによって動的に構築されるため動で構成する必要はありません

式の書式

度なエンドポイント分析式の形式は次のとおりです

CLIENTAPPLICATION (SCAN-type_ Product-id_ Method-name _ Method-comparator_Method-param _hellip)

各項の意味は次の通りです

SCAN-typeは分析されるアプリケーションのタイプです

product-idは分析されたアプリケーションの製品識別情報です

Method-nameは分析対象の製品またはシステム属性です

法-コンパレータは分析のために選択されたコンパレータです

Method-paramは分析対象の 1つまたは複数の属性値です

次に例をします

clientapplication(ANTIVIR_2600RTP==_TRUE)

注意アプリケーション以外のスキャンタイプの場合式のプレフィックスはCLIENTAPPLICATIONではなく CLIENTSYSTEMです


Citrix Gateway 130

式字列

度なエンドポイント分析でサポートされている各スキャンタイプでは式に意の識別が使されます次の表はスキャンの種類ごとの字列を列挙したものです

スキャンの種類スキャンタイプの式字列

フィッシング対策 ANTIPHI

スパイウェア対策 ANTISPY

アンチウイルス ANTIVIR

バックアップクライアント BACKUP

デバイスアクセスの制御 DEV-CONT

データ損失防 DATA-PREV

デスクトップ共有 DESK-SHARE

ファイアウォール FIREWALL

ヘルスエージェント HEALTH

ハードディスク暗号化 HD-ENC

インスタントメッセンジャー IM

Webブラウザー BROWSER

P2P P2P

パッチ管理 PATCH

URLフィルタリング URL-FILT

MACアドレス MAC

ドメインチェック DOMAIN

数値レジストリスキャン REG-NUM

数値以外のレジストリスキャン REG-NON-NUM

メモ Mac OS X固有のスキャンではメソッドタイプの前にMAC-というプレフィックスが式に含まれますしたがってウイルス対策スキャンとフィッシング対策スキャンでは法はそれぞれMAC-ANTIVIRとMAC-ANTIPHIです例pre codeblockclientapplication(MAC-ANTIVIR_2600RTP==_TRUE)


Citrix Gateway 130

アプリケーションスキャンの法

度なエンドポイント分析式を設定する場合メソッドを使してエンドポイントスキャンのパラメータを定義しますこれらのメソッドにはメソッド名コンパレータおよび値が含まれます次の表は式で使できるすべてのメソッドを列挙しています

般的なスキャン法

次のメソッドは複数のタイプのアプリケーションスキャンに使されます

法説明較演算指定可能な値

バージョンアプリケーションのバージョンを指定します

lt lt= gt gt= = == バージョン字列

AUTHENTIC 与えられたアプリケーションが本物であるかどうかを確認してください

== TRUE

ENABLED アプリケーションが有効になっているかどうかを確認します

== TRUE

RUNNING アプリケーションが実されているかどうかを確認します

== TRUE

COMMENT コメントフィールド (スキャンでは無視)式内では []によって区切られます

== 任意のテキスト

VERSION字列は1234のように最 4つの値から成る 10進字列を指定できます

AUTHENTICチェックはアプリケーションのバイナリファイルの信頼性を検証します

注意アプリケーションスキャンのタイプには汎バージョンを選択できます般的なスキャンを選択すると商品 IDは 0になります

Gatewayにはソフトウェアの種類ごとに汎スキャンを設定するオプションがあります般的なスキャンを使して管理者は任意の特定の製品にスキャンチェックを制限することなくクライアントマシンをスキャンすることができます

汎スキャンではユーザーシステムにインストールされている製品がそのスキャン法をサポートしている場合にのみスキャン法が機能します特定のスキャン法をサポートする製品についてはCitrixサポートにお問い合わせください

固有のスキャン法


Citrix Gateway 130

次のメソッドは指定した種類のスキャンに固有のものです


ENABLED-FOR 選択したアプリケーションでフィッシング対策ソフトウェアが有効になっているかどうかを確認します

allof anyofnoneof Windowsの場合Internet ExplorerMozilla FirefoxGoogle ChromeOpera SafariMacの場合 Safari MozillaFirefox GoogleChrome Opera

表 2 スパイウェア対策とウイルス対策


RTP リアルタイム保護がオンになっているかどうかを確認します

== TRUE

SCAN-TIME システム全体のスキャンが実されてからの時間（分）

lt lt= gt gt= = == 任意の正の数

VIRDEF-FILE-TIME ウイルス定義ファイルが更新されてからの時間(つまりウイルス定義ファイルのスタンプから現在のタイムスタンプまでの分数)


VIRDEF-FILE-VERSION 定義ファイルのバージョン


ENGINE-VERSION エンジンのバージョン lt lt= gt gt= = == バージョン字列

表 3 バックアップクライアント


Citrix Gateway 130


LAST-BK-ACTIVITY 最後のバックアップアクティビティが完了してから何分経過したか


表 4 データ消失防


ENABLED アプリケーションが有効かどうかおよび時間保護がオンになっているかどうかをチェックします

== TRUE

表 5 ヘルスチェックエージェント


SYSTEM-COMPL システムが準拠しているかどうかを確認します

== TRUE

表 6 ハードディスク暗号化


ENC-PATH 暗号化ステータスを確認するための PATH

NO OPERATOR 任意のテキスト

ENC-TYPE 指定されたパスの暗号化の種類を確認します

すべての任意のなし次のオプションを含むリスト暗号化部暗号化仮想化サスペンド保全中

表 7 Webブラウザー


Citrix Gateway 130


DEFAULT デフォルトのブラウザとして設定されているかどうかを確認します

== TRUE

表 8 パッチ管理 ltcaptiongt

|法 |説明 |較演算 |指定可能な値 ||mdash |mdash |mdash |mdash ||SCAN-TIME|パッチの最後のスキャンが実されてからの時間（分）|lt lt= gt gt= = ==|任意の正の数 ||MISSED-PATCH|クライアントシステムではこれらのタイプのパッチが落していません|anyof noneof|事前選択された（パッチマネージャサーバ上で事前に選択されたパッチ）NON|


ADDR クライアントマシンのMACアドレスが指定されたリストに含まれているかどうかをチェックします

anyof noneof 編集可能リスト

表 10 ドメインメンバシップ ltcaptiongt|法 |説明 |較演算 |指定可能な値 ||mdash |mdash |mdash |mdash ||SUFFIX| 指定されたリストにクライアントマシンが存在するか存在しないかを確認してください|anyofnoneof|編集可能リスト |


Citrix Gateway 130


PATH レジストリチェックのパス形式HKEY_LOCAL_MACHINESOFTWARECitrixSecureAccessClientEnableAutoUpdate特殊字のエスケープは必要ありませんすべてのレジストリルートキーHKEY_LOCAL_MACHINEHKEY_CURRENT_USERHKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG



Citrix Gateway 130


REDIR-64 64ビットリダイレクトに従いますTRUEに設定するとWOWリダイレクトが実されます（32ビットシステムではレジストリパスがチェックされますが64ビットシステムではWOWリダイレクトパスがチェックされます）設定されていない場合WOWリダイレクトはわれません（つまり32ビットおよび 64ビットシステムの場合同じレジストリパスがチェックされます）リダイレクトされないレジストリエントリの場合この設定は無効です64ビットシステムでリダイレクトされるレジストリキーの覧については次の資料を参照してくださいhttpmsdnmicrosoftcomen-uslibraryaa38425328v=vs8529aspx

== TRUE

VALUE 上記のパスに期待される値このスキャンはレジストリの種類のREG_DWORDとREG_QWORDに対してのみ機能します

lt lt= gt gt= = == 任意の数

|法 |説明 |較演算 |指定可能な値 ||mdash |mdash |mdash |mdash |


Citrix Gateway 130

|PATH|レジストリチェックのパスレジストリスキャンで数値タイプを確認します|NO OPERATOR|任意のテキスト ||REDIR-64|64ビットリダイレクトに従いますレジストリスキャンで数値型をチェックしてください|==|TRUE||VALUE|上記のパスに期待される値字列型のレジストリエントリの場合レジストリ値は期待値に対して直接較されますREG_BINARYレジストリエントリの種類ではレジストリ値が字の 16進字列に変換されこの字列が期待値と較されます|== =|任意のテキスト |


度なエンドポイント分析スキャンのトラブルシューティング

March 26 2020

度なエンドポイント分析スキャンのトラブルシューティングを援するためにクライアントプラグインはログ情報をクライアントエンドポイントシステム上のファイルに書き込みますこれらのログファイルはユーザーのオペレーティングシステムに応じて次のディレクトリにあります

Windows Vista Windows 7 Windows 8 Windows 81 Windows 10

CUsersltusernamegtAppDataLocalCitrixAGEEnsepatxt

Windows XP

CDocuments and SettingsAll UsersApplication DataCitrixAGEEnsepatxt

Mac OS X systems

~LibraryApplication SupportCitrixEPAPluginepapluginlog

（~記号は該当するMac OS Xユーザのホームディレクトリパスをします）


ユーザーセッションの管理

March 26 2020

ユーザーセッションは「アクティブユーザーセッション」ダイアログボックスの構成ユーティリティで管理できますこのダイアログボックスにはCitrix Gateway上のアクティブなユーザーセッションのリストが表されます


Citrix Gateway 130

このダイアログボックスではユーザー名グループ名または IPアドレスを使してユーザーまたはグループセッションを終了できます

このダイアログボックスではアクティブなセッションを表することもできますセッション情報には以下が含まれます

bull ユーザー名bull ユーザーデバイスの IPアドレスbull ユーザーデバイスのポート番号bull 仮想サーバの IPアドレスbull 仮想サーバのポート番号bull ユーザーに割り当てられたイントラネット IPアドレス

ユーザーセッションを表するには


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 [セッション]の下のセッションの覧を表します

セッションリストを更新するには

Citrix Gatewayへのセッションに関する更新情報を取得できます


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 [更新]をクリックします

ユーザーまたはグループのセッションを終了するには

ユーザーおよびグループのセッションを終了できます特定のイントラネット IPアドレスとサブネットマスクを持つセッションを終了することもできます


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 [セッション]でユーザーまたはグループを選択し[終了]をクリックします


Citrix Gateway 130

イントラネット IPアドレスを使してセッションを終了するには


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 イントラネット IPの選択4 [イントラネット IP]に IPアドレスをします5 [ネットマスク]にサブネットマスクをし[終了]をクリックします


AlwaysON

March 26 2020

Citrix Gatewayの AlwaysON機能を使するとユーザーは常に企業ネットワークに接続できますこの永続的なVPN接続はVPNトンネルの動確によって実現されます

注

AlwaysON機能はCitrix ADC 120ビルド 5124以降のキャプティブポータルをサポートします

AlwaysONにするタイミング

AlwaysONはユーザーの位置に基づいてシームレスな VPN接続を提供しVPNに接続していないユーザーによるネットワークアクセスを防する必要がある場合に使します

次のシナリオはAlwaysONの使法をしています

bull 従業員は企業ネットワークの外部でラップトップを起動しVPN接続を確するための援を必要としています解決策ラップトップが企業ネットワークの外部で起動されるとAlwaysONはトンネルをシームレスに確しVPN接続を提供します

bull VPN接続を使する従業員は企業ネットワークに移します従業員は企業ネットワークに切り替えられますがVPNトンネルに接続されたままですがこれは望ましい状態ではありません解決策従業員が企業ネットワークに移するとAlwaysOnは VPNトンネルを切断し従業員を企業ネットワークにシームレスに切り替えます

bull 従業員が企業ネットワークの外に移動してラップトップを閉じます (シャットダウンしません)従業員はラップトップで作業を再開する際VPN接続を確するための援を必要とします解決策従業員が企業ネットワークの外に移動するとAlwaysONはトンネルをシームレスに確しVPN接続を提供します


Citrix Gateway 130

bull ある企業はVPNトンネルに接続されていないユーザに対して提供されるネットワークアクセスを規制したいと考えています解決法設定に応じてAlwaysONはアクセスを制限しユーザーは Gatewayネットワークのみにアクセスできるようにします

AlwaysONフレームワークについて

AlwaysONはクライアントが以前に確した VPNトンネルにユーザを動的に接続しますユーザーが初めてVPNトンネルを必要とする場合ユーザーは Citrix Gatewayの URLに接続してトンネルを確する必要がありますAlwaysON設定がクライアントにダウンロードされた後この設定はトンネルのその後の確を駆動します

Citrix Gatewayクライアント実可能ファイルは常にクライアントマシンで実されますユーザーがログオンしたりネットワークが変更されたりするとCitrix Gatewayクライアントはユーザーのラップトップが企業ネットワーク上にあるかどうかを判断します場所と構成に応じてCitrix Gatewayクライアントはトンネルを確するか既存のトンネルを切断します

トンネルの確はユーザーがコンピューターにログオンした後にのみ開始されますCitrix Gatewayクライアントはクライアントマシンの資格情報を使して Gatewayサーバーとの認証をいトンネルの確を試みます

トンネルの動再確

VPNトンネルが Citrix Gatewayによって切断されるとトンネルの動再確がトリガーされます

注

エンドポイント分析の失敗でCitrix Gatewayクライアントはトンネルの確を再試しませんがエラーメッセージを表します認証に失敗した場合Citrix Gatewayクライアントはユーザーに資格情報のを要求します

シームレスなトンネル確でサポートされるユーザ認証式

サポートされているユーザー認証法は次のとおりです

bull ユーザー名と ADパスワード認証にWindowsのユーザー名とパスワードが使されている場合CitrixGatewayクライアントはこれらの資格情報を使してトンネルをシームレスに確します

bull ユーザー証明書認証にユーザー証明書が使されマシン上に証明書が 1つしかない場合Citrix Gatewayクライアントはこの証明書を使してトンネルをシームレスに確します複数のクライアント証明書がインストールされている場合ユーザが優先証明書を選択した後にトンネルが確されますCitrix Gatewayクライアントは後で確されたトンネルに対してこの設定を使します

bull ユーザー証明書とユーザー名 + ADパスワードこの認証法は前述の認証法の組み合わせです


Citrix Gateway 130

注

その他の認証メカニズムはすべてサポートされていますがトンネルの確は他の認証式に対してシームレスではありません他のすべての認証法ではユーザーの介が必要です

AlwaysONの設定要件

エンタープライズ管理者は管理対象デバイスに対して次のことを強制する必要があります

bull 特定の構成のプロセスサービスを終了できないことbull ユーザーが特定の構成のためにパッケージをアンインストールできないことbull ユーザーは特定のレジストリエントリを変更できません

注

管理対象外のデバイスの場合と同様にユーザーが管理権限を持っている場合この機能は期待どおりに機能しないことがあります

AlwaysON機能を有効にする際の考慮事項

AlwaysON機能を有効にする前に次のセクションを確認してください

プライマリネットワークアクセストンネルが確されると企業ネットワークへのトラフィックはスプリットトンネルの構成に基づいて決定されますこの動作をオーバーライドするための追加の設定は提供されません

クライアントマシンのプロキシ設定クライアントマシンのプロキシ設定はGatewayサーバーへの接続時に無視されます

注

Citrix ADCアプライアンスのプロキシ構成は無視されませんクライアントマシンのプロキシ設定のみが無視されますシステムにプロキシが設定されているユーザにはVPNプラグインがプロキシ設定を無視したことが通知されます

構成値が「拒否」に設定されている場合次の変更が適されます

bull クライアント UI-プラグインのコンテキストメニューとプラグイン UIの [ログオフ]オプションと [終了]オプションが無効になりますユーザーは Gateway URLを変更できません

bull ブラウザのログオン-別の Gatewayへのブラウザのログオンは許可されていませんクライアントコントロールは無効です

AlwaysONの構成

AlwaysONを構成するにはCitrix Gateway wayアプライアンスで AlwaysOnプロファイルを作成しプロファイルを適します


Citrix Gateway 130

AlwaysOnプロファイルを作成するには次の順に従います

1 Citrix ADC GUIで［構成］gt［Citrix Gateway］gt［ポリシー］gt［AlwaysON］の順に選択します2 [AlwaysONプロファイル]ページで[追加]をクリックします3 [AlwaysONプロファイルの作成]ページで次の詳細をします

bull [名前] mdashプロファイルの名前bull ロケーションベースの VPN mdash次のいずれかの設定を選択します

ndash [リモート] クライアントが企業ネットワーク内にあるかどうかを検出し企業ネットワーク内にない場合はトンネルを確できるようにしますこれがデフォルトの設定です

ndash クライアントの場所に関係なくクライアントが場所の検出をスキップしてトンネルを確できるようにする場所

bull「クライアント制御」mdash次のいずれかの設定を選択しますndash ユーザーがログオフして別の Gatewayに接続できないようにするには[拒否]をクリックしますこれがデフォルトの設定です

ndash ユーザーがログオフして別の Gatewayに接続できるようにすることを許可しますbull「VPNでのネットワークアクセス障害」mdash次のいずれかの設定を選択します

ndash [フルアクセス] トンネルが確されていないときにクライアントとの間でネットワークトラフィックが送受信されるようにしますこれがデフォルトの設定です

ndash トンネルが確されていないときにクライアントとの間でネットワークトラフィックが流れるのを防ぐには[ Gatewayへのみ]を選択しますただしGateway IPアドレスとの間で送受信されるトラフィックは許可されます

4 [作成]をクリックしてプロファイルの作成を終了します

AlwaysOnプロファイルを適するには次の順に従います

1 Citrix ADCインターフェイスで［構成］＞ Citrix Gateway＞［グローバル設定］を選択します2 [グローバル設定]ページで[グローバル設定の変更]リンクをクリックし[クライアントエクスペリエンス]タブを選択します

3 [ AlwaysONプロファイル名]ドロップダウンメニューから新しく作成したプロファイルを選択し[ OK ]をクリックします

注

同様の構成はグループレベルサーバーレバーまたはユーザーレベルでポリシーを適するためにセッションプロファイルでうことができます

管理ユーザと管理者ユーザに対するさまざまな設定の動作の要約

次の表はさまざまな構成の動作をまとめたものですまたAlwaysON機能に影響を与える可能性のある特定のユーザー操作の可能性についても詳しく説明します


Citrix Gateway 130

networkAccessONVPNFailureクライアント制御管理者以外のユーザー管理者ユーザー

fullaccess 許可トンネルは動的に確されますユーザーはログオフしてネットワークから離れることができますユーザーは別のCitrix Gatewayをポイントすることもできます

トンネルは動的に確されますユーザーはログオフしてエンタープライズネットワークから離れたままにすることができますユーザーは別の Citrix Gatewayをポイントすることもできます

fullaccess 禁トンネルが動的に確されますユーザーがログオフしたり別のCitrix Gatewayをポイントしたりすることはできません

トンネルは動的に確されますユーザーはCitrix Gatewayクライアントをアンインストールしたり別の CitrixGatewayに移動したりできます

onlyToGateway 許可トンネルは動的に確されますユーザーはログオフできます（ネットワークアクセスなし）ユーザーは別の CitrixGatewayをポイントすることもできますこの場合アクセスは新しくポイントされた CitrixGatewayにのみ与えられます


onlyToGateway 禁トンネルが動的に確されますユーザーがログオフしたり別のCitrix Gatewayをポイントしたりすることはできません



Citrix Gateway 130

AlwaysOnがダウンしているときに URLをホワイトリストに登録する

AlwaysONがダウンしネットワークがロックされている場合でもユーザーはいくつかのWebサイトにアクセスできます管理者は AlwaysOnWhitelistレジストリを使してAlwaysOnが停しているときにアクセスを有効にするWebサイトを追加できます

注

bull AlwaysOnWhitelistレジストリはリリース 130ビルド 47x以降でサポートされていますbull AlwaysOnWhitelistレジストリの場所はComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure

Access Clientbull Wildcard URLsFQDNsは AlwaysOnWhitelistレジストリでサポートされていません

AlwaysOnWhitelistレジストリを設定するには

AlwaysOnWhitelistレジストリにアクセスを許可する FQDNIPアドレス範囲または IPアドレスのセミコロン区切りのリストを設定します

例mycompanycom-mycdncom-10120670-101206725567676767

次の図はAlwaysOnWhitelistレジストリのサンプルをしています


Windowsログオン前に AlwaysON VPN (正式には AlwaysOnサービス)

April 9 2020

Windowsログオン前の AlwaysOn VPN機能を使するとユーザーがWindowsシステムにログインする前でもマシンレベルの VPNトンネルを確できますトンネルはマシンがシャットダウンするまでアクティブのままですユーザログイン後デバイスレベルの VPNトンネルはユーザレベルの VPNトンネルによって引き継がれますユーザがログオフするとユーザレベルトンネルが切断されデバイスレベルトンネルが確されますWindowsログオン前の AlwaysOn VPNは度なポリシーのみを使して構成できます詳しくは「Windowsログオン前に AlwaysONの VPNを構成する」を参照してください

Windowsログオン前に AlwaysON VPNには次の項が含まれます

bull Windowsマシンは企業のアクティブディレクトリ（AD）を使してユーザーのログイン資格情報を検証することができマシン上のWindows資格情報はキャッシュされませんまた新しい企業の ADユーザーはマシンにシームレスにログオンできます

bull Windowsマシンはユーザーがログインする前でも企業イントラネットの部となりIT管理者はデバッグ的で企業ネットワークからクライアントマシンにアクセスできます


Citrix Gateway 130

bull 異なるユーザーがマシンにログインしたりログアウトしたりしてもWindowsマシンの VPNトンネルは接続されたままです

注意事項

bull Citrix Gatewayおよび VPNプラグインはバージョン 1304120以降である必要がありますbull クライアントマシンにインターネット接続がない場合Windowsログオン前に AlwaysOn VPNはVPNトンネルを確する前にインターネット接続が使可能になるまで待機します

bull クライアントマシンがキャプティブポータルネットワークに接続されている場合Windowsログオンの前にAlwaysOn VPNはユーザーがキャプティブポータルへの認証を待機しますユーザーがログインしてインターネットアクセスが有効になるとWindowsログオン前に AlwaysOn VPNによって VPNトンネルが確されます

bull Windowsログオン前の VPN機能ではCitrix ADCのキャプティブポータルがサポートされますbull Windowsでログオン資格情報のキャッシュオプションが有効になっていない場合ユーザーは次のシナリオでログオンできません

ndash マシンにインターネット接続がありませんndash マシンがキャプティブポータルネットワークに接続されている

Windowsログオン構成の前にAlwaysOn VPNの後のWindows資格情報マネージャーの画

Windowsログオン前に AlwaysOn VPN機能を設定するとWindows資格情報マネージャー画が次のように変更されます

ログオン画で [サインインオプション]をクリックすると次の情報が表されます

bull Citrix Gatewayアイコンはマシンが Citrix Gatewayに接続されているかどうかをしますbull ユーザ構成モードに応じて次のいずれかのステートメントがログオン画に表されます

ndash Citrix Gatewayがサービスモードで接続されているndash Citrix Gatewayがユーザーモードで接続されている


Windowsログオン前に AlwaysONの VPNを構成する

April 9 2020

Windowsログオン前の AlwaysONの VPNでは次の機能が提供されます

bull 管理者はユーザーがドメイン Controllerに接続してパスワードを変更できるを使してリモートで作業する最初のユーザーにワンタイムパスワードを提供します

bull 管理者はユーザーがログインする前にデバイスに対して ADポリシーをリモートで管理適します


Citrix Gateway 130

bull 管理者はユーザーがログオンした後ユーザーグループに基づいてユーザーにきめ細かいレベルの制御を提供しますたとえばユーザーレベルのトンネルを使して特定のユーザーグループに対するリソースへのアクセスを制限または提供することができます

bull ユーザートンネルはユーザーの要件に従ってMFAに設定できますbull 複数のユーザーが同じマシンを使することができ選択的なリソースへのアクセスはユーザープロファイルに基づいて提供されますたとえばキオスクでは複数のユーザーが間をかけずにマシンを使できます

bull リモートで作業しているユーザーはドメイン Controllerに接続してパスワードを変更します

Windowsログオン前の AlwaysONの VPNについて

Windowsログオン機能前に AlwaysOn VPNのイベントのフローを次にします

bull ユーザーがラップトップをオンにするとデバイス証明書をアイデンティティとして使して CitrixGatewayに向けてマシンレベルのトンネルが確されます

bull ユーザーはAD資格情報を使してラップトップにログインしますbull ログイン後ユーザーはMFAに挑戦されますbull 認証に成功するとマシンレベルのトンネルがユーザレベルのトンネルに置き換えられますbull ユーザがログアウトするとユーザレベルのトンネルはマシンレベルのトンネルに置き換えられます

GUIを使してWindowsログオン前に AlwaysONの VPNを構成する

前提要件

bull Citrix Gatewayおよび VPNプラグインはバージョン 1304120以降である必要がありますbull Citrix ADCアドバンストエディション以降はソリューションが動作するために必要とされますbull この機能を構成するには度なポリシーを使します

構成には次のまかな順が含まれます

bull 認証プロファイルの作成bull 認証仮想サーバーを作成するbull 認証ポリシーの作成bull 認証プロファイルにポリシーをバインドする

GUIを使して機能を設定するには

クライアント証明書ベースの認証

1［構成］タブで［Citrix Gateway］gt［仮想サーバー］に移動します

2［Citrix Gateway仮想サーバー］ページで既存の仮想サーバーを選択し［編集］をクリックします


Citrix Gateway 130

3 [VPN仮想サーバー]ページで[編集]アイコンをクリックします

4 [デバイス証明書の CA ]セクションの横にある [追加]をクリックし[ OK ]をクリックします

注 [デバイス証明書を有効にする]チェックボックスは選択しないでください

5 CA証明書を仮想サーバーにバインドするには[証明書]セクションの [ CA 証明書 ]をクリックします[ SSL仮想サーバー CA証明書のバインド]ページの [バインドの追加]をクリックします

6 [クリックして必要な証明書を選択する]というテキストをクリックします

7 必要な CA証明書を選択します


9 [VPN仮想サーバー]ページの [認証プロファイル]セクションで[追加]をクリックします

10 [認証プロファイルの作成]ページで認証プロファイルの名前をし[追加]をクリックします

11 [認証仮想サーバー]ページで認証仮想サーバーの名前をし[IPアドレスの種類]として [アドレス不可能]を選択し [ OK ]をクリックします

12 [度な認証ポリシー]で[認証ポリシー]をクリックします

13 [ポリシーのバインド]ページで[ポリシーの選択]の横にある [追加]をクリックします

14 [認証ポリシーの作成]ページで

a) 事前認証ポリシーの名前をしますb) [アクションタイプ]リストから [ EPA ]を選択しますc) [アクション]の横にある [追加]をクリックします

15 [認証 EPAアクションの作成]ページで

a) 作成する EPAアクションの名前をしますb)「式」フィールドに「sysclient_expr」（「デバイス証明書 0_0」）としますc)［作成］をクリックします


a) 認証ポリシーの名前をしますb) [式]フィールドに is_aoserviceとしますc)［作成］をクリックします

17 [ポリシーバインディング]ページで[優先度]に 100とし[バインド]をクリックします

注マシンレベルのトンネル設定はこれで完了ですWindowsログオン後にユーザーレベルのトンネルを使しない場合は順 18〜 25をスキップしてクライアント側の構成を続できます


Citrix Gateway 130

Windowsログオン後にマシンレベルのトンネルをユーザーレベルのトンネルに置き換えるには以下の設定を続します

18 順 17でバインドされたポリシーの [終了 ]ではなく [次の式へ移動]を変更します

19 [認証仮想サーバー]ページで[認証ポリシー]をクリックします

20 [認証ポリシー]ページで[バインドの追加]タブをクリックします



a) 作成する「認証なし」ポリシーの名前をします

b) アクションタイプを No_AUTHNとして選択します

c) [式]フィールドに is_aoservice inとします

d)［作成］をクリックします

注式 is_aoservicein tはCitrix Gatewayバージョン 130ビルド 4120以降から有効です

23 [ポリシーのバインディング]ページで[優先度]に 110とし[次の要素の選択]の横にある [追加]をクリックします

24 [認証ポリシーのラベル]ページでLDAP認証ポリシーを作成しますLDAP認証ポリシーを作成するには次の記事を参照してください詳細については構成ユーティリティを使して LDAP認証を構成するにはを参照してください

25 [ポリシーのバインド]ページで [バインド]をクリックします

クライアント側の構成

AlwaysOnlocationDetectionおよびサフィックスリストのレジストリはオプションでありロケーション検出機能が必要な場合にのみ必要です

レジストリキーレジストリの種類値と説明

AlwaysOnService REG_DWORD 1 =gtユーザーペルソナなしでAlwaysOnサービスを有効にする2 =gtユーザーペルソナでAlwaysOnサービスを有効にする

常に URLに付いています REG SZ 接続先の Citrix Gateway仮想サーバーユーザーの URLです例httpsxyzcompanyDomaincom


Citrix Gateway 130


AlwaysOn REG_DWORD 1 =gt VPN障害時にネットワークアクセスを許可する 2=gt VPN障害時にネットワークアクセスをブロックする

locationDetection REG_DWORD 1 =gt位置検出を有効にするには0 =gt位置検出を無効にするには

suffixList REG SZ イントラネットドメインのカンマ区切りリスト位置検出が有効な場合に使されます

これらのレジストリエントリの詳細については「AlwaysOn」を参照してください

クラシックポリシーを使してWindowsログオンの前に AlwaysOn VPNを構成するには「クラシックポリシーを使してWindowsログオン前に常時 VPNを構成する」を参照してください



April 9 2020

Citrix Gatewayを使する Citrix ADC1つの URL

Citrix Gatewayを搭載した Citrix ADCによりデスクトップユーザーおよびモバイルユーザー向けの単の URLを介してあらゆるアプリケーションへのセキュアなアクセスを簡素化できますこの単の URLの背後にある管理者はアプリケーションへのリモートアクセスの構成セキュリティおよび制御を元管理できますまたリモートユーザーは必要なすべてのアプリケーションへのシームレスなシングルサインオンとログインログアウトの使いやすさによりエクスペリエンスが向上しています

これを実現するためにCitrix ADC with GatewayはCitrix ADCのコンテンツスイッチング機能および広範な認証インフラストラクチャとともにこの単の URLを介して組織のサイトやアプリケーションへのアクセスを提供しますさらにリモートユーザーはiOSまたは Androidのモバイルデバイスおよび Citrix Gatewayクライアントプラグインとともに LinuxPCまたはMacシステムを使してどこにいても Citrix GatewayURLに統されたアクセスが可能です

Citrix Gatewayデプロイメントでは次のカテゴリのアプリケーションへの単 URLアクセスを許可します


Citrix Gateway 130

bull イントラネットアプリケーションbull クライアントレスアプリケーションbull サービスとしてのソフトウェアアプリケーションbull Citrix ADCによって提供される構成済みアプリケーションbull Citrix Virtual Apps and Desktopsの公開アプリケーション

イントラネットアプリケーションはセキュアなエンタープライズネットワーク内に存在する任意のWebベースアプリケーションですこれらは組織のイントラネットサイトバグ追跡アプリケーションWikiなどの内部リソースです

通常セキュアな企業ネットワーク内に常駐するクライアントレスアプリケーション Citrix GatewayはOutlookWeb Accessおよび SharePointへの単の URLアクセスを提供しますこれらのアプリケーションはリモートユーザーが利できる必要のある専のクライアントソフトウェアを使せずにExchangeメールおよびチームリソースへのアクセスを提供します

SaaSアプリケーションはクラウドアプリケーションとも呼ばれSharefileSalesForceNetSuiteなどの組織が依存する外部のクラウドベースのアプリケーションですSAMLベースのシングルサインオンはこれを提供する SaaSアプリケーションでサポートされています

組織によってはCitrix ADCの負荷分散構成で展開された Citrix ADCのアプリケーションがあらかじめ構成されている場合があります多くの場合これは「リバースプロキシ」アプリケーションとも呼ばれますCitrix Gatewayは展開の仮想サーバーが同じ Citrix ADC Citrix Gatewayインスタンスまたはアプライアンス上にある場合にこれらのアプリケーションをサポートしますこれらのアプリケーションはCitrix Gateway構成とは独した独の認証構成を持つ場合があります

公開されている Citrix Virtual Apps and Desktopsの公開アプリケーションはCitrix Gatewayの URLから利できますSmartAccessおよび SmartControlポリシーは必要に応じて詳細なポリシーおよびこれらのリソースへのアクセス制御に適できます

Citrix Gateway構成ウィザード

CitrixCitrix Gateway構成ウィザードを使して Citrix ADCを構成する場合推奨される法はCitrix Gateway構成ウィザードを使することですウィザードでは構成を順を追って実し必要なすべての仮想サーバーポリシーおよび式を作成し提供された詳細に基づいて設定を適します初期セットアップ後ウィザードを使して配置を管理しその動作を監視できます

注Citrix Gateway構成ウィザードではシステムの初期構成は実されませんCitrix Gatewayを構成する前にCitrix Gatewayアプライアンスまたは VPXインスタンスの基本インストールが完了している必要があります基本的な設定を完了初回セットアップウィザードを使した Citrix Gatewayの構成するにはのインストール順を参照してください

ウィザードによって構成される Citrix Gatewayの要素は次のとおりです

bull Citrix Gatewayのプライマリ仮想サーバー


Citrix Gateway 130

bull Citrix Gateway仮想サーバーの SSLサーバー証明書bull プライマリ認証および任意のオプションのセカンダリ認証設定bull ポータルテーマの選択とオプションのカスタマイズbull Citrix Gatewayポータルからアクセスされるユーザーアプリケーション

これらの要素ごとに設定情報を指定する必要がありますCitrix Gatewayの基本的な展開では次の情報が必要です

bull プライマリ Citrix Gateway仮想サーバーの場合展開環境のパブリック IPアドレスと IPポート番号これはDNSで Citrix Gatewayの URLのホスト名に解決される IPアドレスですたとえばCitrix Gatewayデプロイメントの URLがhttpsmycompanycomの場合IPアドレスはmycompanycomに解決する必要があります

bull デプロイメントの署名付き SSLサーバー証明書Citrix GatewayはPEMまたは PFX形式の証明書をサポートしています

bull プライマリ認証サーバ情報この認証構成でサポートされる認証システムはLDAPActive DirectoryRADIUSおよび証明書ベースですセカンダリ LDAPまたは RADIUS認証設定を作成することもできます認証サーバの IPアドレスは関連する管理者の資格情報またはディレクトリ属性とともに提供する必要があります証明書認証ではデバイス証明書アトリビュートと CA証明書を指定する必要があります

bull ポータルテーマを選択できますカスタマイズまたはブランド化されたポータルデザインが必要な場合はウィザードを使してカスタムグラフィックをシステムにアップロードできます

bull Webベースのユーザアプリケーションの場合個々のアプリケーションの URLを指定する必要がありますSAMLシングルサインオン認証を利するWebアプリケーションの場合ユーティリティはアサーションコンシューマーサービス URLを他のオプションの SAMLパラメータとともに収集しますSAML認証システムを使するアプリケーションの構成の詳細を事前に収集します

bull Citrix Gateway展開で Citrix Virtual Apps and Desktopsの公開リソースを利できるようにするには統合ポイント（StoreFrontWeb Interfaceまたは Citrix ADC上のWeb Interface）を指定する必要がありますユーティリティには統合ポイントの完全修飾ドメイン名サイトパスシングルサインオンドメインSecure Ticket Authority (STA)サーバー URLおよび統合ポイントの種類に応じてその他のものが必要です

追加の構成管理

代替 SSL設定やセッションポリシーなどCitrix Gateway構成ユーティリティでは利できないサイト固有の設定についてはCitrix Gateway構成ユーティリティで必要な設定を管理できますCitrix Gateway構成ユーティリティによって作成されたコンテンツスイッチングまたは VPN仮想サーバーでこれらの設定を変更できます


Citrix Gateway 130

コンテンツスイッチング仮想サーバ

これは展開のメイン IPアドレスと URLの背後にある Citrix ADC構成エンティティですSSLサーバーの証明書とパラメーターはこの仮想サーバー上で管理されますこの仮想サーバは展開の応答ネットワークホストであるため必要に応じて ICMPサーバの応答と RHIの状態をこの仮想サーバ上で変更できますコンテンツスイッチング仮想サーバーは[トラフィック管理] gt [コンテンツスイッチング] gt [仮想サーバー]の [設定]タブにあります

VPN仮想サーバー

Citrix Gateway構成の他の VPNパラメータプロファイルポリシーバインディングはすべてメイン認証構成を含めこの仮想サーバー上で管理されますこのエンティティはCitrix Gateway gt仮想サーバーの「構成」タブで管理されます関連する VPN仮想サーバーの名前にはCitrix Gatewayの初期構成時にコンテンツスイッチング仮想サーバーに与えられた名前が含まれます

注Citrix Gateway展開に作成された VPN仮想サーバーはアドレス指定できず0000の IPアドレスが割り当てられます


Unified Gatewayに関する FAQ

March 26 2020

Unified Gatewayとは

Unified GatewayはCitrix ADC 110リリースの新機能であり単の仮想サーバー（Unified Gateway仮想サーバーと呼ばれます）でトラフィックを受信し必要に応じてそのトラフィックを内部的に転送してUnifiedGateway仮想サーバーにバインドされた仮想サーバーに転送する機能を提供します

Unified Gateway機能を使するとエンドユーザは単の IPアドレスまたはURL（Unified Gateway仮想サーバに関連付けられている）を使して複数のサービスにアクセスできます管理者はIPアドレスを解放しCitrixGateway展開の構成を簡素化できます

各 Unified Gateway仮想サーバーは1台の Citrix Gateway仮想サーバーをフロントエンドできますまたフォーメーションの環としてゼロ個以上の負荷分散仮想サーバーをフロントエンドできますUnified GatewayはCitrix ADCアプライアンスのコンテンツスイッチング機能を利して機能します

Unified Gatewayの配置の例を次にします

bull Unified Gateway仮想サーバー-gt [1つの Citrix Gateway仮想サーバー]


Citrix Gateway 130

bull Unified Gateway仮想サーバー-gt [Citrix Gateway仮想サーバー 1つ負荷分散仮想サーバー 1つ]bull Unified Gateway仮想サーバー-gt [Citrix Gateway仮想サーバー 1台負荷分散仮想サーバー 2台]bull Unified Gateway仮想サーバー-gt [Citrix Gateway仮想サーバー 1台負荷分散仮想サーバー 3台]

各負荷分散仮想サーバーにはMicrosoft Exchangeや Citrix ShareFileなどのバックエンドサービスをホストする標準の負荷分散サーバーを使できます

Unified Gatewayを使する理由

Unified Gateway機能を使するとエンドユーザは単の IPアドレスまたはURL（Unified Gateway仮想サーバに関連付けられている）を使して複数のサービスにアクセスできます管理者はIPアドレスを解放しCitrixGateway展開の構成を簡素化できるという利点があります

複数の Unified Gateway仮想サーバを使できますか

はいUnified Gateway仮想サーバは必要な数だけ存在できます

Unified Gatewayでコンテンツスイッチングが必要なのはなぜですか

コンテンツスイッチング仮想サーバはトラフィックを受信し内部的に適切な仮想サーバに送信するためコンテンツスイッチング機能が必要ですコンテンツスイッチング仮想サーバはUnified Gateway機能のプライマリコンポーネントです

110より前のリリースではコンテンツスイッチングを使して複数の仮想サーバのトラフィックを受信できますその使は Unified Gatewayとも呼ばれていますか

複数の仮想サーバのトラフィックを受信するためのコンテンツスイッチング仮想サーバの使は110より前のリリースでサポートされていますただしコンテンツスイッチングではCitrix Gateway仮想サーバーにトラフィックを送信できませんでした

110の機能強化によりコンテンツスイッチング仮想サーバーは Citrix Gateway仮想サーバーを含む任意の仮想サーバーにトラフィックを転送できます

Unified Gatewayのコンテンツスイッチングポリシーで何が変わったのですか

1 コンテンツスイッチングアクションに新しいコマンドラインパラメータ「-targetVserver」が追加されました新しいパラメーターはターゲットの Citrix Gateway仮想サーバーを指定するために使されます例

アクション UG_CSACT_MyUGターゲット Vサーバ UG_VPN_MyUGを追加

Citrix Gateway構成ユーティリティではコンテンツスイッチング操作にCitrix Gateway仮想サーバーを参照できる「ターゲット仮想サーバー」という新しいオプションが追加されました

2 新しい度なポリシー表現 is_vpn_urlを使してCitrix Gatewayおよび認証固有の要求を照合できます


Citrix Gateway 130

Unified Gatewayでは現在サポートされていない Citrix Gatewayの機能は何ですか

Unified Gatewayではすべての機能がサポートされていますただしVPNプラグインを介したネイティブログオンではマイナーな問題 (問題 ID 544325)が報告されていますこの場合シームレスなシングルサインオン(SSO)は機能しません

Unified GatewayではEPAスキャンの動作はどのようなものですか

Unified Gatewayではエンドポイント分析は Citrix Gatewayのアクセス法でのみトリガーされAAA-TMアクセスではトリガーされませんCitrix Gateway仮想サーバーで認証がわれた場合でもユーザーが AAA-TM仮想サーバーにアクセスしようとするとEPAスキャンはトリガーされませんただしユーザがクライアントレスVPNフル VPNアクセスを取得しようとすると設定された EPAスキャンがトリガーされますこの場合認証またはシームレスな SSOのいずれかが実されます

セットアップ

Unified Gatewayのライセンス要件はどのようなものですか

Unified GatewayはアドバンストライセンスとプレミアムライセンスでのみサポートされますCitrix Gatewayのみまたは標準ライセンスエディションでは使できません

Unified Gatewayで使される Citrix Gateway仮想サーバーにはIPポートSSL構成が必要ですか

Unified Gateway仮想サーバーで使される Citrix Gateway仮想サーバーの場合Citrix Gateway仮想サーバー上で IPポートSSL構成は必要ありませんただしRDPプロキシ機能では同じ SSLTLSサーバー証明書をCitrix Gateway仮想サーバーにバインドできます

Unified Gateway仮想サーバーで使するためにCitrix Gateway仮想サーバー上にある SSLTLS証明書を再プロビジョニングする必要がありますか

現在 Citrix Gateway仮想サーバーにバインドされている証明書を再プロビジョニングする必要はありません既存の SSL証明書は由に再利できこれらを Unified Gateway仮想サーバにバインドできます

単 URLとマルチホスト展開の違いは何ですかどちらが必要ですか

単の URLとはUnified Gateway仮想サーバが 1つの完全修飾ドメイン名 (FQDN)のトラフィックを処理する機能ですこの制限はUnified GatewayがFQDNが設定された証明書のサブジェクトを持つ SSLTLSサーバ証明書を使する場合に発しますたとえば次のようにします

ただしUnified Gatewayがワイルドカードサーバ証明書を使している場合複数のサブドメインのトラフィックを処理できます例citrixcom


Citrix Gateway 130

もう 1つのオプションは複数の SSLTLSサーバー証明書のバインドを可能にするサーバー名インジケータ (SNI)機能を持つ SSLTLS構成です例オーサトリックスオーサトリックスオーサトリックスオーサトリックス

単ホストと複数ホストはWebサイトがWebサーバー (Apache HTTPサーバーやMicrosoftインターネットインフォメーションサービス (IIS)など)でホストされる法に似ていますホストが 1つある場合はApacheでエイリアスまたは「仮想ディレクトリ」を使する場合と同じ法でサイトパスを使してトラフィックを切り替えることができます複数のホストがある場合はApacheで仮想ホストを使する法と同様にホストヘッダーを使してトラフィックを切り替えます

認証

Unified Gatewayではどのような認証メカニズムを使できますか

Citrix Gatewayで動作する既存の認証メカニズムはすべてUnified Gatewayで動作します

これにはLDAPRADIUSSAMLKerberos証明書ベースの認証などがあります

Citrix Gateway仮想サーバーが Unified Gateway仮想サーバーの背後に配置されるときにアップグレードが動的に使される前にCitrix Gateway仮想サーバー上で構成されている認証メカニズムアドレス指定できないIPアドレス（0000）を Citrix Gateway仮想サーバーに割り当てる以外に追加の構成順は必要ありません

「認証」認証とは何ですか

SelfAuthは認証タイプではありませんSelfAuthはURLの作成法を記述しますVPN URL設定では新しいコマンドラインパラメータ ssotypeを使できます例

gt add vpn url RGB RGB rdquohttpbluecitrixlabrdquo-vServerName Blue -ssotypeselfauth

SelfAuthはssotypeパラメータの値の 1つですこのタイプの URLを使してUnified Gateway仮想サーバと同じドメイン内にないリソースにアクセスできますこの設定はブックマークを設定するときに構成ユーティリティに表されます

「ステップアップ」認証」とは何ですか

AAA-TMリソースへのアクセスにさらに安全なレベルの認証が必要な場合はStepUp認証を使できますコマンドラインで authnProfileコマンドを使して認証レベルパラメータを設定します例

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHostauthcitrixlab -AuthenticationDomain citrixlab -AuthenticationLevel 100

この認証プロファイルは負荷分散仮想サーバーにバインドされます

ステップアップ認証は AAA-TM仮想サーバでサポートされていますか


Citrix Gateway 130

はいサポートされています

度ログインログアウトとは何ですか

1回ログインするVPNユーザーはAAA-TMまたは Citrix Gateway仮想サーバーに 1回ログインしますその後VPNユーザーはすべてのエンタープライズクラウドWebアプリケーションにシームレスにアクセスできますユーザーを再認証する必要はありませんただし再認証はAAA-TM StepUpなどの特殊な場合にわれます

度ログアウトする最初の AAA-TMセッションまたは Citrix Gatewayセッションが作成されるとそのユーザーの後続の AAA-TMセッションまたは Citrix Gatewayセッションの作成に使されますこれらのセッションのいずれかがログアウトされるとCitrix ADCアプライアンスはユーザーの他のアプリケーションまたはセッションもログアウトします

共通認証ポリシーはロードバランシング仮想サーバレベルで AAA-TMロードバランシング仮想サーバ固有の認証バインドを使して Unified Gatewayレベルで指定できますかこのユースケースをサポートするための構成順は何ですか

Unified Gatewayの背後にある AAA-TM仮想サーバに対して個別の認証ポリシーを指定する必要がある場合は別個のアドレス指定可能な認証仮想サーバが必要です（通常の AAA-TM設定と同様）負荷分散仮想サーバーの認証ホストの設定はこの認証仮想サーバーを指している必要があります

バインドされた AAA-TM仮想サーバに独の認証ポリシーが設定されるようにUnified Gatewayをどのように設定しますか

このシナリオではロードバランシングサーバにAAA-TM仮想サーバを指すように認証 FQDNオプションが設定されている必要がありますAAA-TM仮想サーバーは独した IPアドレスを持っておりCitrix ADCおよびクライアントから到達可能である必要があります

Unified Gateway仮想サーバを経由するユーザを認証するにはAAA-TM認証仮想サーバが必要ですか

いいえCitrix Gateway仮想サーバーはAAA-TMユーザーも認証します

Citrix Gateway認証ポリシーはUnified Gateway仮想サーバーと Citrix Gateway仮想サーバーのどちらで指定しますか

認証ポリシーはCitrix Gateway仮想サーバーにバインドされます

Unified Gatewayコンテンツスイッチング仮想サーバの背後にある AAA-TM仮想サーバで認証を有効にするにはどうすればよいですか

AAA-TMで認証を有効にし認証ホストを Unified Gatewayコンテンツスイッチング FQDNにポイントします


Citrix Gateway 130

AAA-Traffic Management

コンテンツスイッチングの背後に TM仮想サーバーを追加するにはどうすればよいですか（単 URLとマルチホスト）

単の URLに AAA-TM仮想サーバを追加することと複数のホストに追加することには違いはありませんいずれの場合も仮想サーバーはコンテンツスイッチングアクションのターゲットとして追加されます単の URLとマルチホストの違いはコンテンツスイッチングポリシールールによって実装されます

仮想サーバが Unified Gateway仮想サーバの背後に移動された場合AAA-TMロードバランシング仮想サーバにバインドされた認証ポリシーはどうなりますか

認証ポリシーは認証仮想サーバーにバインドされ認証仮想サーバーは負荷分散仮想サーバーにバインドされますUnified Gateway仮想サーバーの場合Citrix Gateway仮想サーバーを単の認証ポイントとして使することをお勧めしますこれにより認証仮想サーバー上で認証を実する必要がなくなります（または特定の認証仮想サーバーを使する必要もあります）認証ホストを Unified Gateway仮想サーバー FQDNにポイントすると認証が Citrix Gateway仮想サーバーによってわれることが保証されますUnified Gatewayのコンテンツスイッチングを認証ホストにポイントしても認証仮想サーバがバインドされている場合認証仮想サーバにバインドされた認証ポリシーは無視されますただし認証ホストをアドレス指定可能な独した認証仮想サーバーに指定するとバインドされた認証ポリシーが有効になります

AAA-TMセッションのセッションポリシーをどのように設定しますか

Unified GatewayでAAA-TM仮想サーバーに認証仮想サーバーが指定されていない場合AAA-TMセッションはCitrix Gatewayセッションポリシーを継承します認証仮想サーバが指定されている場合その仮想サーバにバインドされた AAA-TMセッションポリシーが適されます

ポータルのカスタマイズ

Citrix ADC 110での Citrix Gatewayポータルへの変更は何ですか

Citrix ADCリリース 110より前のバージョンでは単のポータルのカスタマイズをグローバルレベルで設定できます特定の Citrix ADCアプライアンスのすべての Gateway仮想サーバーはグローバルポータルのカスタマイズを使します

Citrix ADC 110ではポータルテーマ機能を使して複数のポータルテーマを設定できますテーマはグローバルにバインドすることも特定の仮想サーバーにバインドすることもできます

Citrix ADC 110はCitrix Gatewayポータルのカスタマイズをサポートしていますか


Citrix Gateway 130

構成ユーティリティーを使すると新しいポータルテーマ機能を使して新しいポータルテーマを完全にカスタマイズおよび作成できます異なる画像をアップロードしたりカラースキームを設定したりテキストラベルを変更したりすることができます

カスタマイズ可能なポータルページは次のとおりです

bull ログインページbull エンドポイント分析ページbull エンドポイント分析エラーページbull ポストエンドポイント分析ページbull VPN接続ページbull ポータルのホームページ

このリリースではCitrix Gateway仮想サーバーを独のポータル設計でカスタマイズできます

ポータルテーマはCitrix ADC可性またはクラスター展開でサポートされていますか

はいポータルのテーマはCitrix ADC可性およびクラスター展開でサポートされています

Citrix ADC 110のアップグレードプロセスの部としてカスタマイズが移されますか

いいえrcconfrcnetscaler ファイルの変更または 101105 のカスタムテーマ機能を使して呼び出されるCitrix Gatewayポータルページの既存のカスタマイズはCitrix ADC 110へのアップグレード時に動的に移されません

Citrix ADC 110でポータルテーマの準備のために従うべきアップグレード前の順はありますか

既存のカスタマイズはすべてrcconfファイルまたは rcnetscalerファイルから削除する必要があります

もう 1つのオプションはカスタムテーマを使する場合は[既定]の設定を割り当てる必要があることです

［構成］gt Citrix Gateway gt［グローバル設定］に移動します

[グローバル設定の変更]をクリックします[クライアントエクスペリエンス]をクリックし[ UIテーマ]ドロップダウンリストから [デフォルト]を選択します

私はrcconfまたは rcnetscalerによって呼び出される Citrix ADCインスタンスに保存されているカスタマイズを持っていますポータルテーマに移動する法

Citrix ADCナレッジセンターの記事CTX126206ではCitrix ADC 93と 100のビルド 735001eまでこのような構成の詳細をリリースしますCitrix ADC 100は 100 735002e（101および 105を含む）をビルドするためUITHEMEカスタムパラメータを使すると再起動後もカスタマイズを維持できますカスタマイズが Citrix ADCハードドライブに保存されていてこれらのカスタマイズを引き続き使する場合は110の GUIファイルをバックアップし既存のカスタムテーマファイルに挿しますポータルテーマに移動する場合はまず「クライアントエクスペリエンス」の「グローバル設定」または「セッションプロファイル」の「UITHEME」パラメーターの


Citrix Gateway 130

設定を解除する必要がありますまたはデフォルトまたはグリーンバブルに設定することもできますその後ポータルテーマの作成とバインドを開始できます

Citrix ADC 110にアップグレードする前に現在のカスタマイズをエクスポートして保存するにはどうすればよいですかエクスポートしたファイルを別の Citrix ADCアプライアンスに移動できますか

ns_gui_customフォルダにアップロードされたカスタマイズされたファイルはディスク上にありアップグレード後も保持されますただしこれらのファイルは新しい Citrix ADC 110カーネルおよびカーネルの部である他の GUIファイルと完全には互換性がない場合がありますしたがって110の GUIファイルをバックアップしバックアップをカスタマイズすることをお勧めします

さらに構成ユーティリティーにはns_custom_guiフォルダーを別の Citrix ADCアプライアンスにエクスポートするユーティリティーはありませんCitrix ADCインスタンスからファイルを削除するにはSSHまたはWinSCPなどのファイル転送ユーティリティを使する必要があります

ポータルテーマは AAA-TM仮想サーバーでサポートされていますか

はいポータルテーマはAAA-TM仮想サーバーでサポートされています

RDPプロキシ

Citrix Gateway 110の RDPプロキシで何が変更されましたか

Citrix ADC 105e拡張リリース以降RDPプロキシには多くの機能が強化されていますCitrix ADC 110ではこの機能は最初にリリースされたビルドから利できます

ライセンスの変更

Citrix ADC 110の RDPプロキシ機能はプレミアムエディションとアドバンスエディションでのみ使できますCitrix同時ユーザー（CCU）ライセンスはユーザーごとに取得する必要があります

コマンドを有効にする

Citrix ADC 105eではRDPプロキシを有効にするコマンドはありませんでしたCitrix ADC 110では次のコマンドが追加されました

フィーチャー rdpproxyの有効化

このコマンドを実するには機能のライセンスが必要です


Citrix Gateway 130

その他の RDPプロキシの変更

サーバプロファイルの PSK（事前共有キー）属性が必須になりました

RDPプロキシの既存の Citrix ADC 105e構成を Citrix ADC 110に移するには以下の詳細を理解し対処する必要があります

管理者が既存の RDPプロキシ設定を選択した Unified Gateway配置に追加する場合は次の順を実します

bull Citrix Gateway仮想サーバーの IPアドレスを編集しアドレス指定できない IPアドレス（0000）に設定する必要があります

bull SSLTLSサーバー証明書認証ポリシーは選択したUnified Gateway構成の部である Citrix Gatewayway仮想サーバーにバインドする必要があります

Citrix ADC 105eに基づくリモートデスクトッププロトコル（RDP）プロキシ構成を Citrix ADC 110に移するにはどうすればよいですか

オプション 1プレミアムライセンスまたはアドバンスライセンスを使して既存の Citrix Gateway仮想サーバーを RDPプロキシ構成のままにします

オプション 2既存の Citrix Gateway仮想サーバーを RDPプロキシ構成で移動しUnified Gateway仮想サーバーの背後に配置します

オプション 3RDPプロキシ構成を持つスタンドアロンの Citrix Gateway仮想サーバーを既存の標準エディションアプライアンスに追加します

Citrix ADC 110リリースを使してRDPプロキシ構成に Citrix Gatewayをどのようにセットアップしますか

NS 110リリースを使して RDPプロキシを展開するには次の 2つのオプションがあります

1）外部にした Citrix Gateway仮想サーバーを使するこれにはCitrix Gateway仮想サーバーの外部からえる IPアドレスFQDNが 1つ必要ですこのオプションはCitrix ADC 105eで利できるものです

2）Citrix Gateway仮想サーバーのフロントエンドの Unified Gateway仮想サーバーを使する

オプション 2ではアドレス指定不可能な IPアドレス（0000）を使するためCitrix Gateway仮想サーバーは独の IPアドレスFQDNを必要としません

他の Citrixソフトウェアとの統合

HDX Insightは Unified Gatewayと連携しますか

Citrix Gatewayを Unified Gatewayで展開する場合Citrix Gateway仮想サーバーには有効な SSL証明書がバインドされている必要がありますまたHDX Insightレポートに Citrix ADCInsight Centerの AppFlowレコードを成するにはその証明書が UP状態である必要があります


Citrix Gateway 130

既存の HDX Insight構成を移するにはどうすればよいですか

移は不要ですCitrix Gateway仮想サーバーにバインドされた AppFlowポリシーはその Citrix Gateway仮想サーバーが Unified Gateway仮想サーバーの背後に配置されている場合に引き継がれます

Citrix Gateway仮想サーバーの Citrix ADC Insight Centerにある既存のデータについては次の 2つの可能性があります

bull Citrix Gateway仮想サーバーの IPアドレスがUnified Gatewayへの移の環としてUnified Gateway仮想サーバーに割り当てられている場合データは Citrix Gateway仮想サーバーにリンクされたままになります

bull Unified Gateway仮想サーバーに別の IPアドレスが割り当てられている場合Citrix Gateway仮想サーバーの AppFlowデータはその新しい IPアドレスにリンクされますしたがって既存のデータは新しいデータの部にはなりません


ダブルホップ DMZでの展開

March 26 2020

内部ネットワークを保護するために3つのファイアウォールを使する場合があります3つのファイアウォールはDMZを 2つの段階にわけて内部ネットワークにさらなるセキュリティを提供しますこのネットワーク構成をダブルホップ DMZと呼びます

図 1ダブルホップ DMZにデプロイされた Citrix Gatewayアプライアンス

注説明のため前述の例ではStoreFrontWeb Interfaceおよび Citrix Virtual Appsで 3つのファイアウォールを使したダブルホップ構成について説明していますがDMZ内に 1つのアプライアンス安全なネットワーク内に 1つのアプライアンスを含むダブルホップ DMZを使することもできますDMZ内の 1つのアプライアンスとセキュアネットワーク内の 1つのアプライアンスでダブルホップ構成を構成する場合3番のファイアウォールでポートを開く順は無視できます

ダブルホップ DMZはCitrix StoreFrontまたは CitrixCitrix Gatewayプロキシと並してインストールされたWeb Interfaceと連携するように構成できますユーザーはCitrix Workspaceアプリを使して接続します

注StoreFrontを使してダブルホップ DMZに Citrix Gatewayを展開するとCitrix Workspaceアプリの電メールベースの動検出が機能しません



Citrix Gateway 130

ダブルホップ DMZでの Citrix Gatewayの展開

March 26 2020

内部ネットワークを保護するために3つのファイアウォールを使する場合があります3つのファイアウォールはDMZを 2つの段階にわけて内部ネットワークにさらなるセキュリティを提供しますこのネットワーク構成をダブルホップ DMZと呼びますCitrix Virtual Appsおよび StoreFrontを使してダブルホップ DMZにCitrix Gatewayを展開できます


注説明のため前述の例では3つのファイアウォールとWeb Interfaceを使したダブルホップ構成について説明していますがDMZ内の 1つのアプライアンスとセキュアネットワーク内の 1つのアプライアンスを持つダブルホップ DMZを使することもできますDMZ内の 1つのアプライアンスとセキュアネットワーク内の 1つのアプライアンスでダブルホップ構成を構成する場合3番のファイアウォールでポートを開く順は無視できます

ダブルホップ DMZはCitrix StoreFrontまたはWeb Interfaceで動作するように構成できますユーザーはCitrix Workspaceアプリを使して接続します

注

StoreFrontを使してダブルホップ DMZに Citrix Gatewayを展開するとCitrix Workspaceアプリの電メールベースの動検出が機能しません


ダブルホップ展開の仕組み

March 26 2020

Citrix Gatewayアプライアンスをダブルホップ DMZに展開してCitrix Virtual Appsを実しているサーバーへのアクセスを制御できますダブルホップ展開での接続は次のようにわれます

bull ユーザーはWebブラウザーを使しCitrix Workspaceアプリを使して公開アプリケーションを選択することにより最初の DMZで Citrix Gatewayに接続します

bull Citrix Workspaceはユーザーデバイス上で起動されますユーザーはCitrix Gatewayに接続してセキュアネットワーク内のサーバーファームで実されている公開アプリケーションにアクセスします

注ダブルホップ DMZ展開ではSecure Hubと Citrix Gatewayプラグインはサポートされていませんユーザー接続にはCitrix Workspaceアプリのみが使されます


Citrix Gateway 130

bull 最初の DMZの Citrix Gatewayはユーザー接続を処理しSSL VPNのセキュリティ機能を実しますこの Citrix Gatewayはユーザー接続を暗号化しユーザーの認証法を決定し内部ネットワーク上のサーバーへのアクセスを制御します

bull 2つの DMZの Citrix GatewayはCitrix Gatewayのプロキシデバイスとして機能しますこの CitrixGatewayではICAトラフィックが 2番の DMZを通過してサーバーファームへのユーザー接続を完了できます最初の DMZの Citrix Gatewayと内部ネットワークの Secure Ticket Authority（STA）間の通信も2番の DMZの Citrix Gatewayを介してプロキシされます

Citrix GatewayはIPv4および IPv6接続をサポートしています構成ユーティリティを使して IPv6アドレスを構成できます

次の表にさまざまな ICA機能のダブルホップ展開のサポートをします

ICA機能ダブルホップのサポート

SmartAccess はい

SmartControl はい

Enlightened Data Transport（EDT）はい

HDX Insight はい

ICAセッションの信頼性（ポート 2598）はい

ICAセッションの移はい

ICAセッションのタイムアウトはい

マルチストリーム ICA はい

Framehawk いいえ

UDPオーディオいいえ


ダブルホップ DMZ配置における通信フロー

April 9 2020

ダブルホップDMZ展開に関連する構成上の問題を理解するにはダブルホップDMZ展開におけるさまざまな CitrixGatewayコンポーネントと Citrix Virtual Appsコンポーネントがどのように通信してユーザー接続をサポートしているかを理解する必要がありますStoreFrontとWeb Interfaceの接続プロセスは同じです


Citrix Gateway 130

ユーザー接続プロセスは 1つの連続フローでわれますが順については次の 4つのトピックで詳しく説明します

bull ユーザーの認証bull Session Ticketの作成bull Citrix Workspaceアプリの起動bull 接続の完了

次の図はStoreFrontまたはWeb Interfaceへのユーザー接続プロセスで発する順をしていますセキュアなネットワークではCitrix Virtual Appsを実しているコンピューターはSecure Ticket Authority（STA）XMLサービスおよび公開アプリケーションも実します

図 1ダブルホップ DMZユーザ接続プロセス


ユーザーの認証

March 26 2020

ユーザ認証はダブルホップ DMZ展開におけるユーザ接続プロセスの最初のステップです次の図はこの展開におけるユーザー接続プロセスをしています

図 1ダブルホップ DMZにおけるユーザ認証のための通信フロー

ユーザー認証段階では次の基本プロセスが実されます

1 ユーザーは最初の DMZで Citrix Gatewayに接続するWebブラウザーなどでCitrix Gatewayのアドレス（httpswwwngwxycocomなど）をしますCitrix Gateway atewayでログオンページ認証を有効にした場合Citrix Gatewayはユーザーを認証します

2 最初の DMZ内の Citrix Gatewayは要求を受信します3 Citrix GatewayはWebブラウザーの接続をWeb Interfaceにリダイレクトします4 Web Interfaceは内部ネットワークのサーバーファームで実されている Citrix XML Serviceにユーザーの資格情報を送信します

5 Citrixの XMLサービスはユーザーを認証します6 XMLサービスはユーザーがアクセスを許可されている公開アプリケーションのリストを作成しこのリストをWeb Interfaceに送信します

Citrix Gatewayで認証を有効にするとアプライアンスは Citrix Gatewayのログオンページをユーザーに送信しますユーザーがログオンページで認証資格情報をするとアプライアンスはユーザーを認証しますその後Citrix Gatewayユーザーの資格情報がWeb Interfaceに返されます

認証を有効にしない場合Citrix Gatewayは認証を実しませんアプライアンスはWeb Interfaceに接続しWeb Interfaceログオンページを取得しWeb Interfaceログオンページをユーザーに送信しますユーザー


Citrix Gateway 130

がWeb Interfaceログオンページで認証資格情報をするとCitrix Gatewayがユーザーの資格情報をWebInterfaceに戻します


セッションチケットの作成

March 26 2020

セッションチケットの作成はダブルホップ DMZ展開におけるユーザー接続プロセスの第 2段階です

セッションチケット作成段階では次の基本プロセスが実されます

1 Web Interfaceは内部ネットワークの XMLサービスと Secure Ticket Authority（STA）の両と通信しユーザーがアクセスを許可されている公開アプリケーションのセッションチケットを成しますセッションチケットには公開アプリケーションをホストする Citrix Virtual Appsを実しているコンピューターのエイリアスアドレスが含まれています

2 STAは公開アプリケーションをホストするサーバーの IPアドレスを保存しますSTAは要求されたセッションチケットをWeb Interfaceに送信します各セッションチケットには公開アプリケーションをホストするサーバーの IPアドレスを表すエイリアスが含まれますが実際の IPアドレスは含まれません

3 Web Interfaceは公開アプリケーションごとに ICAファイルを成しますICAファイルにはSTAが発したチケットが含まれています次にWeb InterfaceによってWebページが作成され公開アプリケーションへのリンクのリストがされこのWebページがユーザーデバイス上のWebブラウザに送信されます


Citrix Workspaceアプリの起動

March 26 2020

Citrix Workspaceアプリの起動はダブルホップ DMZ展開におけるユーザー接続プロセスの第 3段階です基本的なプロセスは次のとおりです

1 ユーザーはWeb Interfaceで公開アプリケーションへのリンクをクリックしますWeb Interfaceはその公開アプリケーションの ICAファイルをユーザーデバイスのブラウザに送信します

ICAファイルにはWebブラウザに Receiverを起動するように指するデータが含まれています


Citrix Gateway 130

ICAファイルには最初の DMZの Citrix Gatewayの完全修飾ドメイン名（FQDN）またはドメインネームシステム（DNS）名も含まれます

2 Webブラウザーで Receiverが起動しユーザーは ICAファイルの Citrix Gateway名を使して最初のDMZの Citrix Gatewayに接続します初期 SSLTLSハンドシェイクがわれCitrix Gatewayを実しているサーバーの識別情報が確されます


接続の完了

March 26 2020

接続の完了はダブルホップ DMZ展開におけるユーザー接続プロセスの第 4段階と最終段階です

接続完了段階では次の基本プロセスが実されます

bull ユーザーはWeb Interfaceで公開アプリケーションへのリンクをクリックしますbull WebブラウザはWeb Interfaceによって成された ICAファイルを受信しCitrix Workspaceアプリを起動します注ICAファイルにはCitrix Workspaceアプリを起動するようにWebブラウザーに指するコードが含まれています

bull Citrix Workspaceアプリは最初の DMZで Citrix Gatewayへの ICA接続を開始しますbull 最初の DMZの Citrix Gatewayは内部ネットワークの Secure Ticket Authority（STA）と通信しセッションチケットのエイリアスアドレスをCitrix Virtual Appsまたは StoreFrontを実しているコンピュータの実際の IPアドレスに解決しますこの通信はCitrix Gatewayプロキシによって 2番の DMZを介してプロキシされます

bull 最初の DMZの Citrix GatewayはCitrix Workspaceアプリへの ICA接続を完了しますbull Citrix Workspaceアプリは両の Citrix Gatewayアプライアンスを経由して内部ネットワーク上の

Citrix Virtual Appsを実しているコンピューターと通信できるようになりました

ユーザー接続プロセスを完了するための詳細な順は次のとおりです

1 Citrix Workspaceアプリは公開アプリケーションの STAチケットを最初の DMZの Citrix Gatewayに送信します

2 最初の DMZの Citrix Gatewayはチケットの検証のために内部ネットワークの STAに接続しますSTAに接続するためにCitrix Gatewayは2番の DMZの Citrix Gatewayプロキシに SSL接続を備えたSOCKSまたは SOCKSを確します

3 2番の DMZの Citrix Gatewayプロキシはチケット検証要求を内部ネットワークの STAに渡しますSTAはチケットを検証し公開アプリケーションをホストする Citrix Virtual Appsを実しているコンピュータにチケットをマッピングします


Citrix Gateway 130

4 STAは2番の DMZの Citrix Gatewayプロキシに応答を送信しますこのプロキシは最初の DMZのCitrix Gatewayに渡されますこの応答はチケットの検証を完了し公開アプリケーションをホストするコンピューターの IPアドレスが含まれます

5 最初の DMZの Citrix GatewayはCitrix Virtual Appsサーバーのアドレスをユーザー接続パケットに組み込みこのパケットを 2番の DMZの Citrix Gatewayプロキシに送信します

6 2番の DMZの Citrix Gatewayプロキシは接続パケットで指定されたサーバーへの接続要求をいます7 サーバーは2番の DMZの Citrix Gatewayプロキシに応答します2番の DMZの Citrix Gatewayプロキシはこの応答を最初の DMZの Citrix Gatewayに渡して最初の DMZのサーバーと Citrix Gateway間の接続を完了します

8 最初の DMZの Citrix Gatewayは最終的な接続パケットをユーザーデバイスに渡すことによってユーザーデバイスとの SSLTLSハンドシェイクを完了しますユーザーデバイスからサーバーへの接続が確されます

9 ICAトラフィックはユーザーデバイスとサーバー間で最初の DMZでは Citrix Gatewayと2番のDMZでは Citrix Gatewayプロキシを経由して流れます


ダブルホップ DMZ配置の準備

March 26 2020

ダブルホップ DMZ配置の設定時に適切に準備し不要な問題を回避するには次の質問に答える必要があります

bull 負荷分散をサポートしますかbull ファイアウォールでどのポートを開く必要がありますかbull SSL証明書はいくつ必要ですかbull 展開を開始する前にどのようなコンポーネントが必要ですか

このセクションのトピックには環境に応じてこれらの質問に答えるための情報が含まれています

配置を開始するために必要なコンポーネント

ダブルホップ DMZ展開を開始する前に次のコンポーネントがあることを確認します

bull 少なくとも2つの Citrix Gatewayアプライアンス（DMZごとに 1つずつ）が利可能である必要があります

bull Citrix Virtual Appsを実しているサーバーは内部ネットワークにインストールされ動作している必要があります


Citrix Gateway 130

bull Web Interfaceまたは Storefrontを 2番の DMZにインストールし内部ネットワークのサーバーファームで動作するように構成する必要があります

bull 少なくとも最初の DMZの Citrix Gatewayに 1つの SSLサーバー証明書をインストールする必要がありますこの証明書によりCitrix GatewayへのWebブラウザーとユーザー接続が暗号化されます

ダブルホップ DMZ展開の他のコンポーネント間で発する接続を暗号化する場合は追加の証明書が必要です


ダブルホップ DMZでの Citrix Gatewayのインストールと構成

March 26 2020

ダブルホップ DMZに Citrix Gatewayを展開するにはいくつかの順を実する必要があります順には両の DMZにアプライアンスをインストールしユーザーデバイス接続にアプライアンスを構成する順が含まれます

最初の DMZへの Citrix Gatewayのインストール

最初の DMZに Citrix Gatewayをインストールするにはの順に従いますModel MPX 5500アプライアンスのインストール

最初の DMZに複数の Citrix Gatewayアプライアンスをインストールする場合はロードバランサーの背後にアプライアンスを展開できます

最初の DMZでの Citrix Gatewayの構成

ダブルホップ DMZ展開では最初の DMZ内の各 Citrix Gatewayを構成して2番の DMZの StoreFrontまたはWeb Interfaceに接続をリダイレクトする必要があります

StoreFrontまたはWeb InterfaceへのリダイレクトはCitrix Gatewayグローバルまたは仮想サーバーレベルで実されますCitrix Gateway経由でWeb Interfaceに接続するにはユーザーがWeb Interfaceへのリダイレクトが有効になっている Citrix Gatewayユーザーグループに関連付けられている必要があります

2番の DMZへの Citrix Gatewayのインストール

2つのDMZのCitrix Gatewayアプライアンスは2つのDMZで ICAおよび STA（Secure Ticket Authority）トラフィックをプロキシするためCitrix Gatewayプロキシと呼ばれます


Citrix Gateway 130

Model MPX 5500アプライアンスのインストールの順に従って各 Citrix Gatewayアプライアンスを 2つのDMZにインストールします

このインストール順を使して2台の DMZに追加のアプライアンスをインストールできます

2つの DMZに Citrix Gatewayアプライアンスをインストールした後次の設定を構成します

bull Citrix Gatewayプロキシで仮想サーバーを構成しますbull 最初の DMZと 2番の DMZで Citrix Gatewayアプライアンスが相互に通信するように構成しますbull 2つの DMZの Citrix Gatewayをグローバルにバインドするか仮想サーバーにバインドしますbull 第 1 DMZのアプランスで STAを構成しますbull ファイアウォールで DMZを分離してポートを開きますbull アプライアンスに証明書をインストールします


Citrix Gatewayプロキシ上の仮想サーバーでの設定の構成

March 26 2020

Citrix Gatewayアプライアンス間で接続を許可するにはCitrix Gatewayプロキシ上の仮想サーバーでダブルホップを有効にします

ユーザーが接続するとCitrix Gatewayアプライアンスはユーザーを認証しプロキシアプライアンスへの接続をプロキシします最初の DMZの Citrix Gatewayで2番の DMZの Citrix Gatewayと通信するように仮想サーバーを構成しますCitrix Gatewayプロキシでは認証やポリシーを構成しないでください仮想サーバーでの認証を無効にすることをお勧めします

GUIを使して Citrix Gatewayプロキシ上の仮想サーバーでダブルホップを有効にするには

1［構成］gt Citrix Gateway gt［仮想サーバー］に移動します

2 仮想サーバを選択し[ Edit]をクリックします

3 [基本設定]セクションで[編集]アイコンをクリックし[その他]をクリックします

4 [ダブルホップ]を選択します


GUIを使して Citrix Gatewayプロキシ上の仮想サーバーの認証を無効にするには



Citrix Gateway 130



4 [認証を有効にする]チェックボックスをオフにします



アプライアンスのプロキシと通信するためのアプライアンスの設定

March 26 2020

ダブルホップ DMZで Citrix Gatewayを展開する場合最初の DMZで Citrix Gatewayを構成して2番のDMZの Citrix Gatewayプロキシと通信する必要があります

2台の DMZに複数のアプライアンスを展開する場合は1台の DMZ内の各アプライアンスを構成して2台の DMZ内のすべてのプロキシアプライアンスと通信します

注IPv6を使する場合は構成ユーティリティを使してネクストホップサーバーを構成しますこれをうには［Citrix Gateway］gt［リソース］を展開し［ネクストホップサーバー］をクリックします次の順に従い[

IPv6]チェックボックスをオンにします

Citrix Gatewayプロキシと通信するように Citrix Gatewayを構成するには

1 構成ユーティリティの [構成]タブで[Citrix Gateway] gt [リソース]を展開し[ネクストホップサーバー]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]に最初の Citrix Gatewayの名前をします4［IPアドレス］に2番の DMZの Citrix Gatewayプロキシの仮想サーバーの IPアドレスをします5 [ポート]にポート番号をし[作成][閉じる]の順にクリックします443などのセキュアポートを使している場合は[Secure]を選択します

最初のDMZにインストールされた各 Citrix Gatewayは2番のDMZにインストールされているすべての CitrixGatewayプロキシアプライアンスと通信するように構成する必要があります

Citrix Gatewayプロキシの設定を構成したらポリシーを Citrix Gatewayグローバルまたは仮想サーバーにバインドします


Citrix Gateway 130

Citrix Gatewayネクストホップサーバーをグローバルにバインドするには


2 詳細ペインでネクストホップサーバーを選択し[操作]で [グローバルバインディング]を選択します3 [ネクストホップサーバのグローバルバインドの構成]ダイアログボックスの [ネクストホップサーバ名]でプロキシアプライアンスを選択し[OK]をクリックします

Citrix Gatewayのネクストホップサーバーを仮想サーバーにバインドするには

1 構成ユーティリティの [構成]タブで[Citrix Gateway]を展開し[仮想サーバー]をクリックします2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [公開アプリケーション]タブの [ネクストホップサーバー]で項をクリックし[OK]をクリックします

[公開アプリケーション]タブからネクストホップサーバーを追加することもできます


STAトラフィックと ICAトラフィックを処理するように Citrix Gatewayを構成する

March 26 2020

ダブルホップ DMZ で Citrix Gateway を展開する場合最初の DMZ で Citrix Gateway を構成してSecureTicket Authority（STA）および ICAトラフィックとの通信を適切に処理する必要がありますSTAを実しているサーバはグローバルにバインドすることも仮想サーバにバインドすることもできます

STAを構成したらSTAをグローバルにバインドすることも仮想サーバにバインドすることもできます

STAをグローバルに構成およびバインドするには次の順を実します

1 構成ユーティリティの [構成]タブで[Citrix Gateway]を展開し[グローバル設定]をクリックします2 詳細ペインの [サーバー]で[Secure Ticket Authorityが使する STAサーバーのバインドバインド解除]をクリックします

3 [STAサーバのバインドバインド解除]ダイアログボックスで[追加]をクリックします4 [STA サーバーの構成] ダイアログボックスの [URL] にSTA を実するサーバーのパス (http

mycompanycomまたはhttpipAddressなど)をし[作成]をクリックします

STAを構成して仮想サーバにバインドするには次の順でいます

1 構成ユーティリティの [構成]タブで[Citrix Gateway]を展開し[仮想サーバー]をクリックします2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [公開アプリケーション]タブの [Secure Ticket Authority]で[追加]をクリックします


Citrix Gateway 130

4 [STA サーバーの構成] ダイアログボックスの [URL] にSTA を実するサーバーのパス (httpmycompanycomまたはhttpipAddressなど)をし[作成]をクリックします


ファイアウォールで適切なポートを開く

March 26 2020

ダブルホップ DMZ展開に関連するさまざまなコンポーネント間で発するさまざまな接続をサポートするためにファイアウォールで適切なポートが開いていることを確認する必要があります接続処理の詳細については「ダブルホップ DMZ配置における通信フロー」を参照してください

次の図はダブルホップ DMZ配置で使できる般的なポートをしています

次の表に最初のファイアウォールを介して発する接続と接続をサポートするために開く必要があるポートをします

最初のファイアウォールを介した接続使するポート

インターネットからのWebブラウザは最初の DMZで Citrix Gatewayに接続します注 CitrixGatewayにはポート 80でわれた接続をセキュアなポートにリダイレクトするオプションがありますCitrix Gatewayでこのオプションを有効にすると最初のファイアウォールからポート 80を開くことができますユーザーがポート 80で Citrix Gatewayに暗号化されていない接続をうとCitrix Gatewayは動的に安全なポートにリダイレクトされます

最初のファイアウォールを介して TCPポート 443を開きます

インターネットからの Citrix Workspaceアプリは最初の DMZで Citrix Gatewayに接続します


次の表に2番のファイアウォールを介して発する接続と接続をサポートするために開く必要があるポートをします


Citrix Gateway 130

2番のファイアウォールを介した接続使するポート

最初の DMZの Citrix Gatewayは2番の DMZのWeb Interfaceに接続します

セキュリティで保護されていない接続の場合は TCPポート 802番のファイアウォールを経由してセキュリティで保護された接続の場合は TCPポート 443のいずれかを開きます

最初の DMZの Citrix Gatewayは2番の DMZのCitrix Gatewayに接続します

TCPポート 443を開いて2番のファイアウォールを介したセキュアな SOCKS接続を確します

最初の DMZで Citrix Gatewayで認証を有効にした場合このアプライアンスは内部ネットワークの認証サーバーに接続する必要があります

認証サーバが接続をリッスンする TCPポートを開きますたとえばRADIUSのポート 1812LDAPのポート 389などがあります



StoreFrontまたは 2番の DMZのWeb Interfaceは内部ネットワークのサーバーでホストされているXMLサービスに接続します

セキュリティで保護されていない接続の場合はポート803番のファイアウォールを介した安全な接続の場合はポート 443のいずれかを開きます

StoreFrontまたは 2番の DMZのWeb Interfaceは内部ネットワークのサーバーでホストされているSecure Ticket Authority（STA）に接続します


2つの DMZの Citrix Gatewayは安全なネットワーク内に存在する STAに接続します


2番の DMZの Citrix Gatewayは内部ネットワーク上のサーバー上の公開アプリケーションまたは仮想デスクトップに ICA接続をいます

TCPポート 1494を開き3番のファイアウォールを介した ICA接続をサポートしますCitrix VirtualAppsセッション画の保持を有効にした場合は1494ではなく TCPポート 2598を開きます





Citrix Gateway 130

ダブルホップ DMZ配置での SSL証明書の管理

March 26 2020

ダブルホップ DMZ展開ではコンポーネント間の接続を暗号化するために必要な SSL証明書をインストールする必要があります

ダブルホップ DMZ配置では配置に関係するさまざまなコンポーネント間でいくつかの異なるタイプの接続が発しますこれらの接続にはエンドツーエンドの SSL暗号化はありませんただし各接続は個別に暗号化できます

接続を暗号化するには接続に関係するコンポーネントに適切な SSL証明書 (信頼されたルートまたはサーバー証明書)をインストールする必要があります

次の表に最初のファイアウォールを介して発する接続とこれらの各接続の暗号化に必要な SSL証明書をしますインターネット経由で送信されるトラフィックを保護するには最初のファイアウォールを介した接続を暗号化する必要があります

最初のファイアウォールを介した接続暗号化に必要な証明書

インターネットからのWebブラウザは最初の DMZで Citrix Gatewayに接続します

最初の DMZの Citrix GatewayにはSSLサーバー証明書がインストールされている必要がありますWebブラウザーにはCitrix Gatewayのサーバー証明書と同じ認証局（CA）によって署名されたルート証明書がインストールされている必要があります


この接続の証明書管理はWebブラウザーから CitrixGatewayへの接続と同じですWebブラウザ接続を暗号化するために証明書をインストールした場合この接続もこれらの証明書を使して暗号化されます

次の表に2番のファイアウォールを介して発する接続とこれらの各接続の暗号化に必要な SSL証明書をしますこれらの接続を暗号化するとセキュリティが強化されますが必須ではありません

2番のファイアウォールを介した接続暗号化に必要な証明書


StoreFrontまたはWeb Interfaceに SSLサーバー証明書がインストールされている必要があります最初の DMZの Citrix GatewayにはWeb Interface上のサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります


Citrix Gateway 130



2つの DMZの Citrix GatewayにはSSLサーバー証明書がインストールされている必要があります最初の DMZの Citrix Gatewayには2番の DMZの Citrix Gateway上のサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります




Citrix Virtual Appsサーバー上のMicrosoftインターネットインフォメーションサービス（IIS）サーバー上で XMLサービスを実する場合はIISサーバーにSSLサーバー証明書をインストールする必要がありますXMLサービスが標準のWindowsサービス (IISに存在しない)である場合はSSLサーバー証明書をサーバーの SSLリレー内にインストールする必要がありますStoreFrontまたはWeb InterfaceにはMicrosoft IISサーバーまたは SSLリレーにインストールされたサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります

StoreFrontまたは 2番の DMZのWeb Interfaceは内部ネットワークのサーバーでホストされているSTAに接続します

この接続の証明書管理はWeb Interfaceから XMLサービスへの接続と同じです同じ証明書を使してこの接続を暗号化できます(サーバー証明書はMicrosoft IISサーバーまたは SSLリレーのいずれかに存在する必要があります対応するルート証明書はWeb Interfaceにインストールする必要があります）


Citrix Gateway 130


2番の DMZの Citrix Gatewayは内部ネットワークのサーバーでホストされている STAに接続します

この接続での STAの SSLサーバー証明書の管理はこの表で説明した 2つの接続で説明したものと同じです(サーバー証明書はMicrosoft IISサーバーまたは SSLリレーのいずれかに存在する必要があります)2番の DMZの Citrix GatewayにはSTAおよびXMLサービスで使されるサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります

2番の DMZの Citrix Gatewayは内部ネットワーク上のサーバー上の公開アプリケーションへの ICA接続をいます

SSLサーバー証明書は公開アプリケーションをホストするサーバー上の SSLリレー内にインストールする必要があります2番の DMZの Citrix GatewayプロキシにはSSLリレー内にインストールされたサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります


可性の使

March 26 2020

2つの Citrix Gatewayアプライアンスの可性を展開するとどのトランザクションでも中断のない操作を実現できますのアプライアンスをプライマリノードとして設定しもうのアプライアンスをセカンダリノードとして設定するとプライマリノードは接続を受けれサーバを管理しセカンダリノードはプライマリノードを監視します何らかの理由でプライマリノードが接続を受け付けることができなくなるとセカンダリノードが処理を引き継ぎます

セカンダリノードは定期的なメッセージ（ハートビートメッセージまたはヘルスチェックとも呼ばれる）を送信してプライマリを監視しプライマリノードが接続を受け付けているかどうかを判断しますヘルスチェックが失敗した場合セカンダリノードは指定された期間接続を再試しますその後プライマリノードが正常に機能していないと判断されます次にセカンダリノードがプライマリノードを引き継ぎます（フェイルオーバーと呼ばれるプロセス）

フェイルオーバー後すべてのクライアントが管理対象サーバーへの接続を再確する必要がありますがセッション永続性ルールはフェイルオーバー前と同じように維持されます


Citrix Gateway 130

Webサーバーのロギングの永続性を有効にするとフェールオーバーによってログデータが失われることはありませんロギングの永続性を有効にするにはログサーバー設定が logconfファイルに両のシステムのエントリを保持する必要があります

次の図は可性ペアを使したネットワーク構成をしています

図 1可性構成での Citrix Gatewayアプライアンス

可性を設定する基本的な順は次のとおりです

1 両のノードが同じサブネットにある基本設定を作成します2 ノードがヘルスチェック情報を通信する間隔をカスタマイズします3 ノードが同期を維持するプロセスをカスタマイズします4 プライマリからセカンダリへのコマンドの伝播をカスタマイズします5 オプションでフェイルセーフモードを設定してどちらのノードもプライマリでない状況を回避します6 Citrix Gatewayの無償 ARPメッセージを受け付けないデバイスが環境に含まれている場合は仮想MACアドレスを構成します

より複雑な構成の準備ができたら異なるサブネットで可性ノードを構成できます

可性セットアップの信頼性を向上させるためにルートモニタを設定し冗リンクを作成できますトラブルシューティングやメンテナンスタスクの実など状況によってはノードを強制的にフェイルオーバーする（プライマリステータスを他のノードに割り当てる）場合やセカンダリノードを強制的にセカンダリにしたりプライマリノードをプライマリにしたりしたい場合があります


可性の仕組み

April 9 2020

可性ペアで Citrix Gatewayを構成するとセカンダリ Citrix Gatewayは定期的なメッセージ（ハートビートメッセージまたはヘルスチェックとも呼ばれる）を送信して最初のアプライアンスを監視し最初のアプライアンスが接続を受け付けているかどうかを判断しますヘルスチェックが失敗した場合セカンダリ Citrix Gatewayはプライマリアプライアンスが動作していないと判断するまで指定した時間だけ接続を再試しますセカンダリアプライアンスがヘルスチェックの失敗を確認するとセカンダリ Citrix Gatewayがプライマリ Citrix Gatewayを引き継ぎますこれをフェールオーバーと呼びます

Citrix Gatewayアプライアンス間で可性に関連する情報を交換するには以下のポートを使します

bull UDPポート 3003はhelloパケットを交換してインターバルのステータスを通信するために使されますbull TCPポート 3010は可性設定の同期化に使されますbull 構成設定の同期にはTCPポート 3011が使されます


Citrix Gateway 130

可性の設定に関するガイドライン

可性ペアを設定する前に次の注意事項を確認してください

bull 各 Citrix Gatewayアプライアンスは同じバージョンの Citrix Gatewayソフトウェアを実している必要がありますバージョン番号は構成ユーティリティのページ上部にあります

bull Citrix Gatewayでは2つのアプライアンス間でパスワードが動的に同期されることはありませんペア内の他のアプライアンスのユーザー名とパスワードを使して各 Citrix Gatewayを構成できます

bull プライマリとセカンダリの両の Citrix Gatewayで構成ファイル nsconfのエントリが致している必要がありますただし次の例外があります

ndash プライマリおよびセカンダリ Citrix Gatewayアプライアンスはそれぞれ固有のシステム IPアドレスを使して構成する必要がありますセットアップウィザードを使していずれかの Citrix Gatewayでシステム IPアドレスを構成または変更します

ndash 可性ペアではCitrix Gateway IDと関連する IPアドレスが他の Citrix Gatewayを指している必要がありますたとえばAG1と AG2という 2つのアプライアンスがある場合AG1を意の Citrix Gateway IDとIPアドレスの AG2を使して AG1を構成する必要がありますAG2は意の Citrix Gateway IDと AG1の IPアドレスで構成する必要があります注各 Citrix Gatewayアプライアンスは常にノード 0として識別されます各アプライアンスに意のノード IDを設定します

bull 可性ペアの各アプライアンスには同じライセンスが必要ですライセンスについて詳しくは「ライセンス」を参照してください

bull 構成ユーティリティまたはコマンドラインインターフェイスを直接使しない法 (たとえばSSL証明書のインポートスタートアップスクリプトへの変更)を使していずれかのノードで構成ファイルを作成する場合は構成ファイルを他のノードにコピーするか同のファイルを作成します

bull 可性ペアを設定する場合はプライマリアプライアンスとセカンダリアプライアンスのマッピングされたIPアドレスとデフォルト Gatewayアドレスが同であることを確認します必要に応じてセットアップウィザードを実してマッピングされた IPアドレスをいつでも変更できます

インストール前のチェックリストを使して可性展開で構成する必要がある特定の設定の覧を表できます詳細については「インストール前のチェックリスト」を参照してください


可性の設定

March 26 2020

可性構成をセットアップするには2つのノードを作成します各ノードでもうの Citrix Gateway IPアドレスがリモートノードとして定義されますまず可性を構成する 2つの Citrix ADCアプライアンスのいず


Citrix Gateway 130

れかにログオンしノードを追加します別のアプライアンスの Citrix Gateway IPアドレスを新しいノードのアドレスとして指定します次にもうのアプライアンスにログオンし最初のアプライアンスの Citrix GatewayIPアドレスを持つノードを追加しますアルゴリズムはどのノードがプライマリになりどのノードがセカンダリになるかを決定します

アプライアンスを構成する前に可性ノードを追加しますこのノードは可性ペアの 1つまたは 2つの Citrix Gatewayを表します可性を構成するにはまずノードを作成し次に可性設定を構成します

可性ノードを追加するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム]を展開し[可性]をクリックします

2 詳細ウィンドウの [ノード]タブで[追加]をクリックします3［可性セットアップ］ダイアログボックスの［可性セットアップ］ダイアログボックスの［リモートノードの IPアドレス］テキストボックスにリモートノードとして追加する Citrix ADC NSIPアドレスをしますCitrix Gatewayの IPアドレスが IPv6アドレスの場合はアドレスをする前に IPv6チェックボックスをオンにします

4 ローカルノードをリモートノードに動的に追加する場合は[リモートシステムを構成して可性セットアップに参加する]を選択しますこのオプションを選択しない場合はリモートノードで表されるアプライアンスにログインし現在構成しているノードを追加する必要があります

5 クリックするとダウンしているインターフェイスまたはチャネルの HAモニタをオフにするが有効になります

6 リモートアプライアンスのユーザー名とパスワードが異なる場合は[リモートシステムログオンクレデンシャル]で[リモートシステムのログインクレデンシャルがセルフノードとは異なる]をクリックします

7 [ユーザー名]にリモートアプライアンスのユーザー名をします8 [パスワード]にリモートアプライアンスのパスワードをします9［OK］をクリックします

セカンダリノードを有効または無効にするには

セカンダリノードのみを有効または無効にできますセカンダリノードを無効にするとプライマリノードへのハートビートメッセージの送信が停されるためプライマリノードはセカンダリノードのステータスを確認できなくなりますノードを有効にするとノードは可性構成に参加します


2 詳細ペインの [ノード]タブでローカルノードを選択し[開く]をクリックします3 [HAノードの構成]ダイアログボックスの [可性ステータス]で[ENABLED (HAに参加しない)]を選択します

4［OK］をクリックしますステータスバーにノードが正常に構成されたことをすメッセージが表されます


Citrix Gateway 130

可性の設定を構成するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [HAノードの構成]ダイアログボックスの [ID]にノード識別の番号をしますIDは他のアプライアンスの意のノード番号を指定します

4 [IPアドレス]にシステムの IPアドレスをし[OK]をクリックしますIPアドレスは他のアプライアンスの IPアドレスを指定します

注可性ペアのノードの最 IDは 64です


RPCノードのパスワードの変更

March 26 2020

他の Citrix Gatewayアプライアンスと通信するには各アプライアンスに Citrix Gatewayでの認証法など他のアプライアンスに関する知識が必要ですRPCノードは構成およびセッション情報のシステム間通信に使される内部システムエンティティです各 Citrix Gatewayに 1つの RPCノードが存在し他の Citrix Gatewayアプライアンスの IPアドレスや認証に使されるパスワードなどの情報が格納されます別の Citrix Gatewayと通信する Citrix GatewayはRPCノード内のパスワードをチェックします

Citrix Gatewayでは可性ペアの両のアプライアンスで RPCノードパスワードが必要です最初に各Citrix Gatewayは同じ RPCノードパスワードを使して構成されますセキュリティを強化するには既定の RPCノードパスワードを変更する必要があります構成ユーティリティを使してRPCノードを構成および変更できます

RPCノードはノードの追加またはグローバルサーバー負荷分散 (GSLB)サイトの追加時に暗黙的に作成されますRPCノードを動で作成または削除することはできません

重要アプライアンス間のネットワーク接続もセキュリティで保護する必要がありますRPCノードのパスワードを設定するときに[セキュリティで保護する]チェックボックスをオンにするとセキュリティを構成できます

RPCノードのパスワードを変更しセキュリティで保護された接続を有効にするには

1 [システム] gt [ネットワーク] gt [RPC]に移動します

2 詳細ペインでノードを選択し[編集]をクリックします

3 [パスワード]と [パスワードの確認]に新しいパスワードをします


Citrix Gateway 130

4［送信元 IPアドレス］に他の Citrix Gatewayアプライアンスのシステム IPアドレスをします

5 [セキュリティで保護する]をクリックし[ OK ]をクリックします

注「セキュア」オプションを有効にするとアプライアンスはノードから他の RPCノードに送信されたすべての通信を暗号化しRPC通信を保護します

CLIを使して RPCノードのパスワードを変更するには


1 set ns rpcNode ltIPAddressgt 2 -password 3 [-secure ( YES | NO )]45 show ns rpcNode

例

1 gt set ns rpcNode 192024 -password mypassword -secure YES2 Done3 gt show rpcNode4 5 6 7 IPAddress 192024 Password d336004164d4352ce39e8 SrcIP Secure ON9 Done

10 gt


プライマリアプライアンスとセカンダリアプライアンスの可性の構成

March 26 2020

RPCノードのパスワードを変更しセキュアな通信を有効にしたら構成ユーティリティを使してプライマリおよびセカンダリ Citrix Gatewayの可性ノードを構成します


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします


Citrix Gateway 130

3 [可性ステータス]で[有効 (HAにアクティブに参加する)]をクリックし[OK]をクリックします


通信間隔の構成

March 26 2020

Citrix Gatewayを可性ペアとして構成する場合セカンダリ Citrix Gatewayがミリ秒（ミリ秒）単位でリッスンするように構成できますこれらの間隔はhello間隔およびデッドインターバルと呼ばれます

hello間隔はハートビートメッセージがピアノードに送信される間隔ですデッドインターバルはハートビートパケットが受信されなかった場合にピアノードが DOWNとマークされるまでの時間間隔ですハートビートメッセージは可性ペアの他のノードのポート 3003に送信される UDPパケットです

helloインターバルを設定する場合は200〜 1000の値を使できますデフォルト値は 200ですデッドインターバル値は 3〜 60ですデフォルト値は 3です

注

デッドインターバルはhelloインターバルの倍数として設定する必要があります

セカンダリ Citrix Gatewayの通信間隔を構成するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [間隔]で次のいずれかまたは両を実します

bull [ハロー間隔 (ミリ秒)]に値をし[OK]をクリックしますデフォルトは 200ミリ秒ですbull [デッド間隔 (秒)]に値をし[OK]をクリックしますデフォルト設定は 3秒です


Citrix Gatewayアプライアンスの同期

March 26 2020


Citrix Gateway 130

可性ペアでの Citrix Gatewayアプライアンスの動同期はデフォルトで有効になっています動同期を使すると1つのアプライアンスを変更してその変更を 2番のアプライアンスに動的に反映させることができます同期ではポート 3010が使されます

同期は次の場合に開始されます

bull セカンダリノードが再起動しますbull プライマリノードはフェールオーバー後にセカンダリになります

同期を無効にするとプライマリアプライアンスで変更が発したときにセカンダリ Citrix Gateway atewayがプライマリ Citrix Gatewayと構成を同期できなくなります同期を強制することもできます

ペアのセカンダリノードで可性同期を有効または無効にします

可性同期を有効または無効にするには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [ノードの構成]ダイアログボックスの [HA同期]で次のいずれかの操作をいます

bull 同期を無効にするには[セカンダリノードがプライマリから構成をフェッチする]チェックボックスをオフにします

bull 同期を有効にするには[セカンダリノードがプライマリから構成をフェッチする]チェックボックスをオンにします

4［OK］をクリックしますノード構成が成功したことをすメッセージがステータスバーに表されます

アプライアンス間で強制的に同期するには

Citrix Gatewayでは動同期に加えて可性ペアの 2つのノード間の強制同期もサポートされています

プライマリおよびセカンダリ Citrix Gatewayアプライアンスの両で同期を強制できますただし同期がすでに進中の場合コマンドは失敗しCitrix Gatewayに警告が表されます強制同期は次の状況でも失敗します

bull スタンドアロンシステム上で同期を強制しますbull セカンダリノードは無効ですbull セカンダリノードで可性の同期を無効にします


2 [ノード]タブで[同期の強制]をクリックします



Citrix Gateway 130

可性セットアップでの構成ファイルの同期

March 26 2020

可性セットアップではプライマリノードからセカンダリノードにさまざまな構成ファイルを同期できます

可性セットアップでファイルを同期するためのパラメータ

bull モード

実する同期のタイプ次の説明にはオプションを指定するコマンドライン引数がカッコ内に含まれます-ライセンスと rcconf (all)を除くすべてシステム構成Citrix GatewayブックマークSSL証明書SSL CRLリストHTMLインジェクションスクリプトアプリケーションファイアウォールの XMLオブジェクトに関連するファイルを同期します-ブックマーク (ブックマーク)すべての Citrix Gatewayのブックマークを同期します- SSL証明書とキー (ssl)SSL機能のすべての証明書キーおよび CRLを同期します-ライセンスと rcconf (その他)すべてのライセンスファイルと rcconfファイルを同期します-ライセンスと rcconf (その他のオプション)を含むすべてのものシステム構成Citrix GatewayブックマークSSL証明書SSL CRLリストHTMLインジェクションスクリプトアプリケーションファイアウォール XMLオブジェクトライセンスおよび rcconfファイルに関連するファイルを同期します

注アプライアンスに Citrix ADCライセンスをインストールする場合はさらに多くのオプションを使できます

構成ユーティリティを使して可性セットアップのファイルを同期するには

1 ナビゲーションウィンドウで[システム]を展開し[診断]をクリックします2 詳細ペインの [ユーティリティ]で[HAファイルの同期の開始]をクリックします3 [ファイル同期の開始]ダイアログボックスの [モード]ドロップダウンリストで適切な同期の種類 ([ライセンス以外のすべて]や [rcconf]など)を選択し[OK]をクリックします


コマンド伝播の設定

March 26 2020

可性セットアップではプライマリノードで発されたコマンドはプライマリノードでコマンドが実される前にセカンダリノードに対して動的に伝達され実されますコマンドの伝播が失敗した場合またはセカン


Citrix Gateway 130

ダリノードでコマンドの実が失敗した場合プライマリノードはコマンドを実しエラーをログに記録しますコマンド伝播ではポート 3011が使されます

可性ペア構成ではプライマリノードとセカンダリノードの両でコマンドの伝播がデフォルトで有効になっています可性ペアのいずれかのノードでコマンド伝播を有効または無効にできます1次ノードでコマンド伝達を無効にするとコマンドは次ノードに伝達されませんセカンダリノードでコマンドの伝播を無効にするとプライマリノードから伝播されたコマンドはセカンダリノードで実されません

注意伝播を再度有効化した後は必ず同期化を強制してください

注意伝播を無効にしている間に同期が発した場合伝播を無効にする前にった構成関連の変更はセカンダリノードと同期されますこれは同期の進中に伝播が無効になっている場合にも当てはまります

プライマリノードで伝播を有効または無効にするには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [HA伝播]で次のいずれかを実します

bull 可性の伝播を無効にするには[プライマリノードが構成をセカンダリに伝達する]チェックボックスをオフにします

bull 可性の伝播を有効にするには[プライマリノードが構成をセカンダリに伝達する]チェックボックスをオンにします



コマンド伝播のトラブルシューティング

March 26 2020

次にコマンドの伝播が失敗する理由と設定を復元するための解決策を説明します

bull ネットワーク接続がアクティブではありませんコマンドの伝播が失敗した場合はプライマリとセカンダリCitrix Gatewayアプライアンスの間のネットワーク接続を確認します

bull セカンダリ Citrix Gatewayにリソースがありませんプライマリ Citrix Gatewayでコマンドの実が成功してもセカンダリ Citrix Gatewayに伝播できない場合はセカンダリ Citrix Gatewayでコマンドを直接実してエラーメッセージを確認しますコマンドに必要なリソースがプライマリ Citrix Gatewayに存在しセカンダリ Citrix Gatewayでは使できないためにエラーが発した可能性がありますまた各アプライアンスのライセンスファイルが致することを確認します


Citrix Gateway 130

たとえばすべての SSL（セキュアソケットレイヤー）証明書が各 Citrix Gatewayに存在することを確認します初期化スクリプトのカスタマイズが両の Citrix Gatewayアプライアンスに存在することを確認します

bull 認証エラー認証失敗のエラーメッセージが表された場合は各アプライアンスの RPCノード設定を確認します


フェールセーフモードの設定

March 26 2020

可性構成ではフェイルセーフモードでは両のノードがヘルスチェックに不合格になったときに 1つのノードが常にプライマリになりますフェイルセーフモードではノードが部分的にしか使できない場合にバックアップメソッドをアクティブ化してトラフィックを処理できます

可性フェイルセーフモードはノードごとに個別に構成します

次の表はフェイルセーフのケースの部をしていますNOT_UP状態はノードがヘルスチェックに失敗したがノードが部分的に利可能であることを意味しますUP状態はノードがヘルスチェックに合格したことを意味します

表 1 フェールセーフモードの場合

ノード A（プライマリ）のヘルス状態

ノード B（セカンダリ）のヘルス状態

デフォルトの可性動作

フェールセーフが有効な可性の動作説明

NOT_UP (最後に失敗しました)

NOT_UP (最初に失敗しました)

A（セカンダリ）B（セカンダリ）

A（プライマリ）B（セカンダリ）

両のノードが次々と故障した場合最後のプライマリノードであったノードはプライマリのままです




A（セカンダリ）B（プライマリ）



Citrix Gateway 130





UP UP A（プライマリ）B（セカンダリ）


両のノードがヘルスチェックに合格した場合フェイルセーフを有効にした場合の動作は変更されません

UP NOT_UP A（プライマリ）B（セカンダリ）


セカンダリノードのみで障害が発した場合フェイルセーフを有効にした場合の動作は変更されません

NOT_UP UP A（セカンダリ）B（プライマリ）


プライマリだけが故障した場合フェイルセーフを有効にした場合の動作は変更されません

NOT_UP UP (STAYSEC-ONDARY)



セカンダリがSTAYSEC-ONDARYとして設定されている場合プライマリは障害が発してもプライマリのままです

フェールセーフモードを構成するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [ノードの構成]ダイアログボックスの [フェイルセーフモード]で[両のノードが正常でない場合でも 1つのプライマリノードを保持]を選択し[OK]をクリックします



Citrix Gateway 130

仮想MACアドレスの設定

March 26 2020

仮想MACアドレスは可性セットアップでプライマリおよびセカンダリ Citrix Gatewayアプライアンスによって共有されます

可性設定ではプライマリ Citrix Gatewayはマッピングされた IPアドレスや仮想 IPアドレスなどすべてのフローティング IPアドレスを所有しますこの IPアドレスに対するアドレス解決プロトコル (ARP)要求に対して独のMACアドレスで応答しますその結果外部デバイス（ルーターなど）の ARPテーブルがフローティング IPアドレスとプライマリ Citrix Gateway MACアドレスで更新されますフェイルオーバーが発するとセカンダリ Citrix Gatewayが新しいプライマリ Citrix Gatewayとして引き継がれます次に無償アドレス解決プロトコル（GARP）を使してプライマリアプライアンスから取得したフローティング IPアドレスをアドバタイズします新しいプライマリアプライアンスがアドバタイズするMACアドレスはのインターフェイスのMACアドレスです

部のデバイスはCitrix Gatewayによって成された GARPメッセージを受け付けませんその結果部の外部デバイスは古いプライマリ Citrix Gatewayによってアドバタイズされた古い IPMACマッピングを保持しますこの状況によりサイトが使できなくなる可能性がありますこの問題を解決するには可性ペアの両の Citrix Gatewayアプライアンスで仮想MACアドレスを構成しますこの構成は両の Citrix GatewayアプライアンスのMACアドレスが同じであることを意味しますその結果フェイルオーバーが発してもセカンダリ Citrix GatewayのMACアドレスは変更されず外部デバイス上の ARPテーブルを更新する必要はありません

仮想MACアドレスを作成するには仮想ルータ ID（ID）を作成しインターフェイスにバインドします可性設定ではユーザーは両のアプライアンスのインターフェイスに IDをバインドする必要があります

仮想ルータ IDがインターフェイスにバインドされるとシステムは仮想ルータ IDを最後のオクテットとする仮想MACアドレスを成します般的な仮想MACアドレスの例は00005 e 0001 ltVRIDgtですたとえば値60の仮想ルータ IDを作成してインターフェイスにバインドした場合結果の仮想 MACアドレスは 00005 e00013 cになりますここで3cは仮想ルータ IDの 16進表現です1〜 254の範囲の 255の仮想ルータ IDを作成できます

IPv4および IPv6の仮想MACアドレスを設定できます


IPv4仮想MACアドレスの設定

March 26 2020


Citrix Gateway 130

IPv4仮想MACアドレスを作成してインターフェイスにバインドするとインターフェイスから送信されるすべてのIPv4パケットはインターフェイスにバインドされた仮想MACアドレスを使しますインターフェイスにバインドされた IPv4仮想MACアドレスがない場合はインターフェイスの物理MACアドレスが使されます

汎仮想MACアドレスの形式は 00005 e 0001 ltVRIDgtですたとえば値 60の VRIDを作成してインターフェイスにバインドするとその仮想MACアドレスは 00005 e 00013 cになります3cは VRIDの 16進表現です1〜 255の値で 255個の VRIDを作成できます


IPv4仮想MACアドレスの作成または変更

March 26 2020

IPv4仮想MACアドレスを作成するには仮想ルータ IDを割り当てますその後仮想MACアドレスをインターフェイスにバインドできます複数の仮想ルータ IDを同じインターフェイスにバインドすることはできません仮想MACアドレス設定を確認するには仮想MACアドレスと仮想MACアドレスにバインドされたインターフェイスを表して調べる必要があります

仮想MACアドレスを設定するためのパラメータ

bull VrID

仮想MACアドレスを識別する仮想ルータ ID指定できる値は 1〜 255です

1 ifnum

仮想MACアドレスにバインドされるインターフェイス番号（スロットポート表記）

仮想MACアドレスを設定するには

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインの [VMAC]タブで[追加]をクリックします3 [VMACの作成]ダイアログボックスの [仮想ルーター ID]に値をします4 [関連付けられたインターフェイス]の [使可能なインターフェイス]でネットワークインターフェイスを選択し[追加][作成][閉じる]の順にクリックします

仮想MACアドレスを作成すると設定ユーティリティに表されますネットワークインターフェイスを選択した場合仮想ルーター IDはそのインターフェイスにバインドされます


Citrix Gateway 130

仮想MACアドレスを削除するには

仮想MACアドレスを削除するには対応する仮想ルータ IDを削除する必要があります

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインでアイテムを選択し[削除]をクリックします

仮想MACアドレスをバインドおよびバインド解除するには

仮想ルーター IDを作成したらCitrix Gatewayでネットワークインターフェイスを選択し仮想ルーター IDをネットワークインターフェイスにバインドしましたまたネットワークインターフェイスから仮想MACアドレスをバインド解除しCitrix Gatewayで設定したMACアドレスをそのままにすることもできます

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインでアイテムを選択し[開く]をクリックします3 [構成されたインターフェイス]でネットワークインターフェイスを選択し[削除][OK][閉じる]の順にクリックします



March 26 2020

Citrix GatewayはIPv6パケットの仮想MACアドレスをサポートしますIPv4仮想MACアドレスがインターフェイスにバインドされている場合でも任意のインターフェイスを IPv6の仮想MACアドレスにバインドできますインターフェイスから送信される IPv6パケットはそのインターフェイスにバインドされた仮想MACアドレスを使しますインターフェイスにバインドされた仮想MACアドレスがない場合IPv6パケットは物理MACを使します


IPv6の仮想MACアドレスの作成または変更

March 26 2020

IPv6仮想MACアドレスを作成するにはIPv6仮想ルータ IDを割り当てますその後仮想MACアドレスをインターフェイスにバインドできます複数の IPv6仮想ルータ IDを 1つのインターフェイスにバインドすることはでき


Citrix Gateway 130

ません仮想MACアドレス設定を確認するには仮想MACアドレスと仮想MACアドレスにバインドされたインターフェイスを表して調べる必要があります

IPv6の仮想MACアドレスを設定するためのパラメータ

bull 仮想ルータ ID


1 ifnum


IPv6の仮想MACアドレスを設定するには

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインの [VMAC6]タブで次のいずれかの操作をいます

bull 新しい仮想MACアドレスを作成するには[Add]をクリックしますbull 既存の仮想MACアドレスを変更するには[Open]をクリックします

3 [VMAC6の作成]または [VMAC6の構成]ダイアログボックスの [仮想ルーター ID]にvrID6などの値をします

4 [インターフェイスの関連付け]で[追加][作成][閉じる]の順にクリックしますステータスバーに仮想MACアドレスが設定されていることをすメッセージが表されます

IPv6の仮想MACアドレスを削除するには

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインの [VMAC6]タブで削除する仮想ルータ IDを選択し[削除]をクリックしますステータスバーに仮想MACアドレスが削除されたことをすメッセージが表されます


異なるサブネットでの可性ペアの設定

March 26 2020


Citrix Gateway 130

般的な可性展開は可性ペアの両のアプライアンスが同じサブネット上に存在する場合です可性展開は各アプライアンスが異なるネットワークに配置されている 2つの Citrix Gatewayアプライアンスで構成することもできますこのトピックでは後者の設定について説明し設定例と1つのネットワーク内およびネットワーク間の可性設定の違いの覧をします

リンクの冗性とルートモニタを設定することもできますこれらの Citrix Gateway機能はネットワーク間の可性構成に役ちますまた各 Citrix Gatewayでパートナーアプライアンスがアクティブであることを確認するために使するヘルスチェックプロセスについても説明します

独したネットワーク構成の仕組み

Citrix Gatewayアプライアンスは2つの異なるネットワーク上の異なるルーター（R3と R4と呼ばれる）に接続されていますアプライアンスはこれらのルータを介してハートビートパケットを交換しますハートビートパケットは接続がまだアクティブであることを保証する定の間隔で発する信号ですこの設定を拡張して任意の数のインターフェイスが関与する配置に対応できます

注ネットワークでスタティックルーティングを使する場合はハートビートパケットが正常に送受信されるようにすべてのシステム間にスタティックルートを追加する必要があります（システムでダイナミックルーティングを使する場合スタティックルートは不要です）

可性ペアのアプライアンスが 2つの異なるネットワーク上に存在する場合セカンダリ Citrix Gatewayには独したネットワーク構成が必要ですつまり異なるネットワーク上の Citrix Gatewayアプライアンスはマッピングされた IPアドレス仮想 LANまたはネットワークルートを共有できません可性ペアの Citrix Gatewayアプライアンスの設定可能なパラメーターが異なるこのタイプの構成は独したネットワーク構成または対称ネットワーク構成と呼ばれます

次の表は独したネットワーク構成の構成可能なパラメーターの概要と各 Citrix Gatewayでの設定法をしています

設定可能なパラメータ動作

IPアドレス Citrix Gateway固有ですそのアプライアンスでのみアクティブです

仮想 IPアドレスフローティング

仮想 LAN Citrix Gateway固有ですそのアプライアンスでのみアクティブです

ルート Citrix Gateway固有ですそのアプライアンスでのみアクティブですリンクロードバランシング（LLB）ルートがフローティング状態です

アクセスコントロールリスト（ACL）フローティング (共通)両のアプライアンスでアクティブです


Citrix Gateway 130


動的ルーティング Citrix Gateway固有ですそのアプライアンスでのみアクティブですセカンダリ Citrix Gatewayもルーティングプロトコルを実しアップストリームルーターとピアリングする必要があります

L2モードフローティング (共通)両のアプライアンスでアクティブです


逆向ネットワークアドレス変換 (NAT) Citrix Gateway固有ですNAT IPアドレスがフローティング状態であるため仮想 IPアドレスを持つリバース NAT


リモートノードの追加

March 26 2020

可性ペアの 2つのノードが異なるサブネット上に存在する場合各ノードは異なるネットワーク構成を持つ必要がありますしたがって2つの独したシステムが可性ペアとして機能するように設定するには設定プロセス中に独したネットワークコンピューティングモードを指定する必要があります

可性ノードを追加する場合は接続されていないインターフェイスまたはトラフィックに使されていないインターフェイスごとに可性モニタを無効にする必要があります

独したネットワークコンピューティングモードにリモートノードを追加するには


2 詳細ウィンドウで[ノード]タブをクリックし[追加]をクリックします

3［可性セットアップ］ダイアログボックスの［リモートノードの IPアドレス］テキストボックスにリモートノードであるアプライアンスの Citrix Gateway IPアドレスをします

IPv6アドレスを使するにはIPアドレスをする前に [IPv6]チェックボックスをオンにします


Citrix Gateway 130

4 ローカルノードをリモートノードに動的に追加する場合は[リモートシステムを構成して可性セットアップに参加する]を選択しますこのオプションを選択しない場合はリモートノードで表されるアプライアンスにログオンし現在構成しているノードを追加する必要があります


6 [セルフモードで INC (独ネットワーク構成)モードをオンにする]をクリックして有効にします

7［OK］をクリックします[Nodes]ページには可性構成のローカルノードとリモートノードが表されます

リモートノードを削除するには


2 詳細ペインで[ノード]タブをクリックします3 削除するノードを選択し[削除]をクリックし[はい]をクリックします


ルートモニタの設定

March 26 2020

ルートモニタを使するとテーブルにダイナミックに学習されたルートまたはスタティックルートが含まれているかどうかにかかわらず可性状態を内部ルーティングテーブルに依存させることができます可性構成では各ノードのルートモニタが内部ルーティングテーブルをチェックし特定のネットワークに到達するためのルートエントリが常に存在することを確認しますルートエントリが存在しない場合ルートモニタの状態は DOWNに変わります

Citrix Gatewayアプライアンスにネットワークに到達するための静的ルートのみがありネットワークのルートモニターを作成する場合は静的ルートに対して監視対象の静的ルートを有効にする必要がありますモニタ対象のスタティックルートは内部ルーティングテーブルから到達不能なスタティックルートを削除しますスタティックルートでモニタ対象のスタティックルートを無効にすると到達不能なスタティックルートが内部ルーティングテーブルに残りルートモニタの的がなくなります

ルートモニタは[独ネットワーク構成]の設定を有効または無効にしてサポートされます次の表は可性セットアップおよび独ネットワーク構成を有効または無効にした場合のルートモニタの状況をしています


Citrix Gateway 130

無効の独ネットワーク構成モードでの可性のルートモニタ

有効になっている独ネットワーク構成モードでの可性のルートモニタ

ルートモニタはノードによって伝播され同期中に交換されます

ルートモニタはノードによって伝播されず同期中に交換されることもありません

ルートモニタは現在のプライマリノードでのみアクティブです

ルートモニタはプライマリノードとセカンダリノードの両でアクティブです

Citrix Gatewayアプライアンスはルートエントリが内部ルーティングテーブルに存在するかどうかに関係なく常にルートモニターの状態を UPとして表します

Citrix Gatewayアプライアンスは対応するルートエントリが内部ルーティングテーブルに存在しない場合ルートモニターの状態を DOWNと表します

ルートモニターはCitrix Gatewayが動的ルートを学習できるようにするためにルートモニターがルートの監視を開始しますこのルートには最 180秒かかりますこれには再起動フェイルオーバーv6ルートに対する set route6コマンドv4ルートに対する set route msrの有効化無効化コマンドの設定新しいルートモニターの追加

該当なし

ルートモニタは独ネットワーク構成モードを無効にしプライマリノードからの Gatewayを可性フェールオーバーの条件の 1つとして到達不能にする場合に便利です

たとえば次の図にすようにCitrix Gatewayアプライアンス NS1と NS2が同じサブネットにありルーターR1とスイッチ SW1SW2SW3を持つ 2アームトポロジーの可性セットアップで独ネットワーク構成を無効にしますこのセットアップでは R1が唯のルータであるため現在のプライマリノードから R1に到達できない場合は常に可性セットアップをフェールオーバーする必要があります各ノードでルートモニタ（それぞれRM1と RM2など）を設定してそのノードからの R1の到達可能性を監視できます

NS1を現在のプライマリノードとして使するとネットワークフローは次のようになります

1 NS1上のルートモニタ RM1はルータ R1のルートエントリの存在についてNS1の内部ルーティングテーブルを監視しますNS1および NS2はスイッチの SW1または SW3を介して定期的にハートビートメッセージを交換します

2 スイッチ SW1に障害が発するとNS1のルーティングプロトコルは R1に到達できないことを検出するため内部ルーティングテーブルから R1のルートエントリを削除しますNS1および NS2はスイッチのSW3を介して定期的にハートビートメッセージを交換します

3 R1のルートエントリが内部ルーティングテーブルに存在しないことを検出するとRM1はフェールオーバーを開始しますNS1と NS2の両から R1へのルートがダウンしている場合いずれかのアプライアンスがR1に到達して接続をリストアできるまで180秒ごとにフェイルオーバーがわれます



Citrix Gateway 130

ルートモニタの追加または削除

March 26 2020

可性ペアのアプライアンスが異なるネットワーク上に存在する場合Citrix Gatewayの可性の状態はアプライアンスに到達できるかどうかによって異なりますクロスネットワーク可性構成では各 Citrix Gatewayのルートモニターが内部ルーティングテーブルをスキャンして他の Citrix Gatewayのエントリが常に存在することを確認します

ルートモニタを追加するには


2 [ルートモニタのバインドバインド解除]ダイアログボックスの [ルートモニタ]タブで[操作]をクリックし[構成]をクリックします

3 [ルートモニターの指定]の [ネットワーク]に他の Citrix Gatewayアプライアンスのネットワークの IPアドレスをします

IPv6アドレスを構成するには[IPv6]をクリックしIPアドレスをします

4 [ネットマスク]に他のネットワークのサブネットマスクをし[追加]をクリックし[OK]をクリックします

この順が完了するとルートモニターが Citrix Gatewayにバインドされます

注ルートモニターが Citrix Gatewayにバインドされていない場合いずれかのアプライアンスの可性状態はインターフェイスの状態によって決まります

ルートモニタを削除するには


2 [ルートモニター]タブで[操作]をクリックし[構成]をクリックします3 [構成されたルートモニタ]でモニタを選択し[削除]をクリックし[OK]をクリックします



Citrix Gateway 130

リンク冗性の設定

March 26 2020

リンク冗性はネットワークインターフェイスをグループ化して他の機能を持つ Citrix Gatewayの 1つのネットワークインターフェイスで障害が発した場合のフェイルオーバーを防しますプライマリ Citrix Gatewayの最初のインターフェイスで障害が発するとフェイルオーバーがトリガーされますが最初のインターフェイスでは 2番のリンクを使してユーザー要求を処理できますリンクの冗性を構成する場合2つのインターフェイスをフェイルオーバーインターフェイスセットにグループ化してプライマリ Citrix Gatewayのすべてのインターフェイスが機能しない限り単のリンクで障害が発してセカンダリ Citrix Gatewayへのフェイルオーバーを防ぐことができます

フェールオーバーインターフェイスセット内の各インターフェイスは独したブリッジエントリを維持しますCitrix Gatewayで有効になっていて障害が発したインターフェイスセットにバインドされていない監視インターフェイスはクリティカルインターフェイスと呼ばれますこれはこれらのインターフェイスのいずれかに障害が発するとフェイルオーバーがトリガーされるためです

リンクの冗性を設定するには


2 [フェールオーバーインターフェイスセット]タブで[追加]をクリックします3 [名前]にセットの名前をします4「インタフェース」で「追加」をクリックします5 [使可能なインターフェイス]でインターフェイスを選択し印をクリックしてインターフェイスを [構成済み]に移動します

6 2番のインターフェイスに対してステップ 4と 5を繰り返し[Create]をクリックします

インターフェイス間のフェールオーバーに必要な数だけインターフェイスを追加できます

フェールオーバーインターフェイスセットからインターフェイスを削除するには


2 [フェールオーバーインターフェイスセット]タブでセットを選択し[削除]をクリックします

フェールオーバーインターフェイスセットを削除するには

フェイルオーバーインターフェイスセットが不要になった場合はCitrix Gatewayから削除できます


Citrix Gateway 130




フェイルオーバーの原因の理解

April 9 2020

次のイベントにより可性構成でフェールオーバーが発する可能性があります

1 セカンダリノードがセカンダリに設定されたデッドインターバルを超えた期間プライマリノードからハートビートパケットを受信しない場合デッド間隔の設定の詳細については通信間隔の設定を参照してくださいノードがピアノードからハートビートパケットを受信しない原因としては次のようなものがあります

bull ネットワーク構成の問題によりハートビートが可性ノード間のネットワークを通過できなくなります

bull ピアノードでハードウェアまたはソフトウェアの障害が発しそのためにハング（ハング）再起動または処理を停しハートビートパケットを転送します

2 プライマリノードで SSLカードのハードウェア障害が発します3 プライマリノードはそのネットワークインターフェイス上でハートビートパケットを 3秒間受信しません4 プライマリノードではフェールオーバーインターフェイスセット (FIS)またはリンク集約 (LA)チャネルの部ではなく可性モニター (HAMON)が有効になっているネットワークインターフェイスに障害が発しますインターフェイスは有効ですがDOWNステートになります

5 プライマリノードではFISのすべてのインターフェイスに障害が発しますインターフェイスは有効ですがDOWNステートになります

6 プライマリノードでHAMONが有効になっている LAチャネルが失敗しますインターフェイスは有効ですがDOWNステートになります

7 プライマリノードではすべてのインターフェイスに障害が発しますこの場合フェールオーバーはHAMON設定に関係なく実されます

8 プライマリノードではすべてのインターフェイスが動で無効になりますこの場合フェールオーバーはHAMON設定に関係なく実されます

9 フェイルオーバーを強制するにはいずれかのノードで force failoverコマンドを発します10 プライマリノードにバインドされているルートモニタは DOWNになります



Citrix Gateway 130

ノードからのフェイルオーバーの強制実

March 26 2020

たとえばプライマリノードを交換またはアップグレードする必要がある場合にフェールオーバーを強制することができますプライマリノードまたはセカンダリノードのいずれかからフェイルオーバーを強制できます強制フェールオーバーは継承されたり同期されたりしません強制フェールオーバー後の同期ステータスを表するにはノードのステータスを表します

次の状況では強制フェールオーバーを実できません

bull スタンドアロンシステムにフェールオーバーを強制するbull セカンダリノードは無効ですbull セカンダリノードはセカンダリノードを維持するように構成されています

強制フェイルオーバーコマンドの実時に潜在的な問題を検出するとCitrix Gatewayアプライアンスが警告メッセージを表しますメッセージには警告をトリガーした情報が含まれており続する前に確認を要求します


プライマリまたはセカンダリノードでのフェイルオーバーの強制実

March 26 2020

プライマリノードでフェイルオーバーを強制するとプライマリがセカンダリになりセカンダリがプライマリになります強制フェイルオーバーはプライマリノードがセカンダリノードが稼働していると判断できる場合にのみ可能です

セカンダリノードが DOWNの場合強制フェールオーバーコマンドは次のエラーメッセージを返します「無効なピアの状態のため操作できません修正して再試してください」

セカンダリシステムが要求状態またはアクティブの場合コマンドは次のエラーメッセージを返します「現在操作できませんシステムが安定するのを待ってから再試してください」

セカンダリノードから force failoverコマンドを実するとセカンダリノードはプライマリノードになりプライマリノードはセカンダリノードになります強制フェールオーバーはセカンダリノードの健全性が良好でノードがセカンダリノードを維持するように構成されていない場合にのみ発します

2次ノードが 1次ノードになることができない場合または 2次ノードが (STAYSECONDARYオプションを使して) 2次ノードに設定されている場合ノードは次のエラーメッセージを表します「状態が無効であるため操作できません詳細についてはノードを参照してください」


Citrix Gateway 130

プライマリノードまたはセカンダリノードでフェールオーバーを強制するには


2 詳細ウィンドウの [ノード]タブでプライマリノードを選択し[アクション]で [フェイルオーバーの強制]をクリックします

3 [警告]ダイアログボックスで[はい]をクリックします


プライマリノードを強制的にプライマリに留める

March 26 2020

可性構成ではアプライアンスのフェイルオーバー後もプライマリ Citrix Gatewayを強制的にプライマリに維持できますこの設定はスタンドアロンの Citrix Gatewayアプライアンスと可性ペアのプライマリアプライアンスである Citrix Gatewayでのみ構成できます

プライマリノードを強制的にプライマリに維持するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [可性ステータス]で[プライマリに保たれる]をクリックし[OK]をクリックします

この設定をクリアするには次のコマンドを使します

clear configuration full

次のコマンドではCitrix Gatewayの可性構成は変更されません

clear configuration basic

clear configuration extended


セカンダリノードを強制的にセカンダリ状態にする

March 26 2020


Citrix Gateway 130

可性設定ではセカンダリ Citrix Gatewayをプライマリ Citrix Gatewayの状態とは無関係に強制的にセカンダリを維持できますセカンダリを維持するように Citrix Gatewayを構成するとプライマリ Citrix Gatewayで障害が発してもセカンダリ状態のままになります

たとえば既存の可性セットアップでプライマリ Citrix Gatewayをアップグレードする必要がありこのプロセスに指定した時間がかかるとしますアップグレード中プライマリ Citrix Gatewayは使できなくなりますがセカンダリ Citrix Gatewayを引き継ぐ必要はありませんプライマリ Citrix Gatewayで障害が検出された場合でもセカンダリ Citrix Gatewayのままにしておきます

可性ペアの Citrix Gatewayのステータスがセカンダリになるように構成されている場合可性状態マシンの移には参加しませんCitrix Gatewayのステータスは［ノード］タブの構成ユーティリティで確認できます

この設定はスタンドアロンおよびセカンダリ Citrix Gatewayの両で機能します

可性ノードを設定してもそのノードは伝播または同期されず設定が構成されている Citrix Gatewayにのみ影響します

セカンダリノードを強制的にセカンダリにするには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [可性の状態]で[セカンダリ (リッスンモードのまま)]をクリックし[OK]をクリックします

Citrix Gatewayをアクティブな可性アプライアンスとしてサービスに戻すには


2 詳細ペインの [ノード]タブでプライマリノードを維持するアプライアンスを選択し[開く]をクリックします



クラスタリングの使

March 26 2020

Citrix Gatewayをクラスター構成で展開してVPNクライアントトラフィックにい処理量可性およびスケーラビリティを提供できますクラスターではCitrix Gatewayアプライアンスまたは仮想マシンのグループは


Citrix Gateway 130

単のシステムイメージとして動作しユーザーセッションを調整しネットワークリソースへのトラフィックを管理しますCitrix Gatewayクラスタは最低 2つ最 32台の Citrix Gatewayアプライアンスまたは仮想マシンをクラスタノードとして構成して構築できます

Citrix Gatewayクラスターの構成を開始する前にCitrix ADCクラスタリングドキュメントをお読みくださいそのドキュメントの次のトピックに特に注意してください

bull 使予定のシステムが要件を満たしていることを確認するにはハードウェアおよびソフトウェアの要件を参照してください

bull クラスタリングの概念についてはクラスタリングのしくみを参照してください

bull 展開を計画し環境に関連する警告を特定するにはノード間通信の設定を参照してください

Citrix Gatewayクラスターはスポットされた VIP構成タイプの Citrix ADCクラスターとして動作します


クラスタリングの構成

April 9 2020

Citrix Gatewayクラスタリングを設定する主なタスクは次のとおりです

1 構成コーディネーターにする Citrix Gatewayアプライアンスまたは VMを決定しそのシステムにクラスターインスタンスを作成します（クラスターインスタンスが存在しない場合）

2 Citrix Gatewayシステムをノードとしてクラスターに参加させます3 STICKYオプションを設定してクラスタインスタンスにノードグループを作成します4 1つのクラスタノードをクラスタノードグループにバインドします5 構成コーディネーターで Citrix Gateway仮想サーバーを構成しクラスターノードグループにバインドします

Citrix ADCクラスターを構成するには複数の法があります次の連のタスクでは構成ユーティリティで使できる最も直接的な法を使します

構成ユーティリティを使して Citrix Gatewayクラスターインスタンスを作成するには

展開の詳細をすべて整理したら構成コーディネーターとなる Citrix Gatewayで構成を開始します

注意クラスターインスタンスを作成すると設定がクリアされます参照に既存のシステム構成を保存する必要がある場合はクラスタ構成を続する前にコピーをアーカイブしますクラスターで使する既存の設定はクラスターが確された後構成コーディネーターで再適できます


Citrix Gateway 130

1 NSIPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 詳細ウィンドウで[クラスターの管理]をクリックします4 [クラスタ構成]ダイアログボックスでクラスタの作成に必要なパラメータを設定します

a) クラスタインスタンス IDをしますこれはクラスターインスタンスの数値識別ですデフォルト値は 1ですが1〜 16の任意の数値に設定できます

b) クラスタ IPアドレスをしますこれはクラスターの構成コーディネーター IPアドレスですこれはクラスターの管理 IPアドレスです

c) 優先するバックプレーンインターフェイスを選択しますこれはクラスターノード間の通信に使する Citrix Gatewayインターフェイスです

5［作成］をクリックします6 システムの再起動を確認するプロンプトで[Yes]をクリックします7 ノードが UP状態になり同期が成功したらクラスタ IPアドレスからノードとクラスタ IPアドレスの両の RPC資格情報を変更しますRPCノードパスワードの変更の詳細についてはRPCノードのパスワードを変更するを参照してください

8 システムが再起動するまで待ちます使可能になったら順 4 (2)で構成したクラスタ IPアドレスで構成ユーティリティにログオンします

注 [System Information]詳細ペインでNSIPアドレスのローカルノードが構成コーディネータとして報告されますこれにより基本クラスタインスタンスが現在動作していることが確認されます

構成コーディネータのローカルノードが動的にクラスタに追加されます次のタスクではさらにノードを追加できます

Citrix Gatewayクラスターへのノードの追加

クラスターインスタンスが確されたら他の Citrix Gatewayノードをクラスターに追加できます

クラスターにさらに Citrix Gatewayシステムを追加するには構成ユーティリティーを使してクラスターノード作成およびクラスター結合の設定をリモートで発します

注クラスターへのノードの追加はCitrix Gatewayのセットアップを構成する前に完了する必要がありますこの法ではクラスター構成に何か問題がありクラスターを削除して再度開始する場合はCitrix Gateway構成を繰り返す必要はありません

1 クラスタ IPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 詳細ウィンドウで[クラスターの管理]をクリックします4 [クラスターノード]の詳細ウィンドウで[追加]をクリックします5 [クラスタノードの作成]ペインでこのノードの意のノード IDをします6 クラスタノードとして追加するシステムの Citrix ADC IPアドレスをします7 クラスターノードの資格情報ペインでリモート Citrix Gatewayシステムの Citrix Gatewayユーザー名とパスワードをします


Citrix Gateway 130

8 [構成コーディネーターの資格情報]ウィンドウでローカルで承認されたユーザーのパスワードをします9［作成］をクリックします

10 プロンプトが表されたら[はい]をクリックしてシステム構成を保存しリモート Citrix Gatewayのウォームリブートを実します

11 ノードが UP状態になり同期が成功したらクラスタ IPアドレスからノードとクラスタ IPアドレスの両の RPC資格情報を変更しますRPCノードパスワードの変更の詳細についてはRPCノードのパスワードを変更するを参照してください

クラスターノードとして構成する追加のリモート Citrix Gatewayシステムごとに順 4〜 11を繰り返します

クラスタノードが [クラスタノード]詳細ペインの [アクティブノードリスト]に含まれていることを確認します落しているノードがある場合は必要なノードがすべて覧表されるまで順 4〜 10を繰り返します

クラスタノードグループの作成

クラスタノードを追加したらクラスタノードグループを作成できます

1 クラスタ IPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 [ノードグループ]をクリックします4 詳細ウィンドウで[追加]をクリックします5 クラスタノードグループの名前をします6 [スティッキー]オプションを選択しますこれはCitrix Gateway仮想サーバーの種類をサポートするために必要です


これでクラスタノードグループが確されます構成ユーティリティーのこの領域を離れる前にローカルの CitrixGatewayノードを新しいクラスターノードグループにバインドできますこれはクラスタグループにバインドされている唯のノードです

ローカルクラスタノードをクラスタノードグループにバインドする

Citrix Gatewayクラスター構成はスポットの種類であるためノードグループにバインドできるノードは 1つだけです次の順では構成コーディネーター上のローカルノードをノードグループにバインドしますがこのバインドにはクラスター内の任意のノードを使できます

1 [詳細設定]ウィンドウで[クラスターノード]を展開します2 中央の [クラスタノード]ペインで[クラスタノードなし]を選択します3 クラスタノードの構成画で[バインド]をクリックします4 この Citrix Gatewayシステムの NSIPアドレスで表されるローカルノードを選択します5［Insert］をクリックします6［OK］をクリックします


Citrix Gateway 130


クラスターが作成され以下のタスクによって構成された Citrix Gateway仮想サーバーを共有する準備が整いました

クラスターノードグループへの Citrix Gateway仮想サーバーのバインド

クラスターを確したらクラスター展開の的とする Citrix Gateway構成を構築できます構成をクラスタに結び付けるにはCitrix Gateway仮想サーバーを作成しStickyタイプに設定されているクラスタノードグループにバインドする必要があります仮想サーバーをクラスターノードグループにバインドした後で引き続き CitrixGatewayを構成できます

複数の Citrix Gateway仮想サーバーを構成する場合はそれらをクラスターノードグループにもバインドする必要があります

注 Citrix Gateway仮想サーバーを構成していない場合はまず［システム］gt［設定］gt［基本機能の構成］でCitrix Gatewayと認証承認監査機能を有効にする必要があります

1 クラスタ IPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 [ノードグループ]をクリックします4 [Node Group]ペインで的のノードグループ名を選択し[Edit]をクリックします5 右側の [詳細設定]ペインで[仮想サーバー]オプションを展開し[+]アイコンをクリックして仮想サーバーを追加します

6 VPN仮想サーバーの種類を選択し[続]をクリックします7［バインド］をクリックします8 必要な仮想サーバーが表されている場合はその仮想サーバーを選択して [挿]をクリックし[OK]をクリックします

9 新しい仮想サーバーを作成する必要がある場合は[追加]をクリックしますCitrix ADC仮想サーバーの構成に進みます最低限必要なのは仮想サーバをクラスタノードグループにバインドできるように作成することだけです

10 Citrix Gateway仮想サーバー］リストで仮想サーバーが使可能になったらその仮想サーバーを選択して［挿］をクリックします

11［OK］をクリックします12［完了］をクリックします

注複数の Citrix Gateway仮想サーバーを構成する場合これらも同じ法でクラスターノードグループにバインドする必要があります



Citrix Gateway 130

システムのメンテナンスとモニタリング

March 26 2020

Citrix Gatewayの構成が完了したらアプライアンスを保守および監視する必要がありますこれをうには次の法があります

bull Citrix Gatewayを最新バージョンにアップグレードできますCitrix WebサイトにログオンするとCitrixGateway のダウンロードサイトとソフトウェアのダウンロードに移動できますメンテナンスビルドのReadmeはCitrixナレッジセンターでつけることができます

bull Citrix Gatewayの構成タスクと管理タスクはグループの異なるメンバーに割り当てることができます委任管理ではユーザーにアクセスレベルを割り当ててCitrix Gatewayで特定のタスクを実するように制限できます

bull Citrix Gatewayの構成はアプライアンスまたはコンピューター上のファイルに保存できます現在の実構成と保存構成を較できますまたCitrix Gatewayから設定をクリアすることもできます

bull Citrix Gateway構成ユーティリティーではユーザーセッションの表更新およびエンドユーザーセッションを実できます

bull Citrix Gatewayでログオンを構成できますログはアプライアンスに関する重要な情報を提供し問題が発した場合に役ちます


委任された管理者の構成

March 26 2020

Citrix Gatewayにはデフォルトの管理者ユーザー名とパスワードが設定されていますデフォルトのユーザー名とパスワードは nsrootですセットアップウィザードを初めて実するときは管理者パスワードを変更できます

追加の管理者アカウントを作成し各アカウントに異なるレベルの Citrix Gatewayを割り当てることができますこれらの追加アカウントは委任された管理者と呼ばれますたとえばCitrix Gatewayの接続とログを監視するユーザーとCitrix Gatewayで特定の設定の構成を担当するユーザーがあるとします最初の管理者には読み取り専アクセスがあり2番の管理者にはアプライアンスへのアクセスが制限されています

委任された管理者を設定するにはコマンドポリシーとシステムユーザーとグループを使します

委任された管理者を構成する場合構成プロセスは次のようになります

bull システムユーザーを追加しますシステムユーザは指定された権限を持つ管理者ですすべての管理者は分が属するグループのポリシーを継承します


Citrix Gateway 130

bull システムグループを追加しますシステムグループには特定の権限を持つシステムユーザーが含まれますシステムグループのメンバーは所属する 1つまたは複数のグループのポリシーを継承します

bull コマンドポリシーを作成しますコマンドポリシーではユーザーまたはグループがアクセスおよび変更を許可する Citrix Gateway構成の部分を定義できますまたコマンドグループ仮想サーバ管理者やグループの設定を許可するその他の要素などのコマンドも規制できます

bull 優先度を設定してコマンドポリシーをユーザーまたはグループにバインドします委任管理を構成するときは管理者またはグループに優先順位を割り当ててCitrix Gatewayが優先するポリシーを決定できるようにします

Citrix Gatewayにはデフォルトのシステムコマンド拒否ポリシーがありますコマンドポリシーはグローバルにバインドできませんポリシーはシステム管理者（ユーザー）またはグループに直接バインドする必要がありますユーザーとグループにコマンドポリシーが関連付けられていない場合はデフォルトの拒否ポリシーが適されユーザーはコマンドを実したりCitrix Gatewayを構成したりできません

カスタムコマンドポリシーを構成してユーザー権利の割り当ての詳細レベルを定義できますたとえばセッションポリシーを Citrix Gatewayに追加することは許可されますが他の構成は許可されません


委任された管理者のコマンドポリシーの設定

March 26 2020

Citrix Gatewayには委任管理に使できる 4つのコマンドポリシーが組み込まれています

bull 読み取り専システムコマンドグループおよび nsconf showコマンドを除くすべてのコマンドを表するための読み取り専アクセスを許可します

bull 演算読み取り専アクセスを許可しサービスのコマンドを有効または無効にするアクセスを許可しますまたこのポリシーではサービスおよびサーバーを「アクセス停」として設定します

bull ネットワークシステムコマンドとシェルコマンドを除いてほぼ完全なシステムアクセスを許可しますbull スーパーユーザーデフォルトの管理者である nsrootに付与される権限など完全なシステム権限を付与します

コマンドポリシーには組み込みの式が含まれています構成ユーティリティを使してシステムユーザシステムグループコマンドポリシーを作成し権限を定義します

Citrix Gatewayで管理ユーザーを作成するには

1 構成ユーティリティのナビゲーションペインの [構成]タブで[システム] gt [ユーザー管理]を展開し[システムユーザー]をクリックします


Citrix Gateway 130

2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4「パスワード」および「パスワードの確認」フィールドにパスワードをします5 グループにユーザーを追加するには[所属するメンバー]で [追加]をクリックします6「使可能」でグループを選択し右印をクリックします7 [コマンドポリシー]の [アクション]で[挿]をクリックします8 [コマンドポリシーの挿]ダイアログボックスでコマンドを選択し[OK][作成][閉じる]の順にクリックします

管理グループの作成

管理グループにはCitrix Gatewayの管理者権限を持つユーザーが含まれます管理グループは構成ユーティリティで作成できます

構成ユーティリティを使して管理グループを構成するには

1 構成ユーティリティのナビゲーションペインの [構成]タブで[システム] gt [ユーザー管理]を展開し[システムグループ]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をします4 既存のユーザーをグループに追加するには[メンバー]で [追加]をクリックします5 [使可能]でユーザーを選択し右印をクリックします6 [コマンドポリシー]の [アクション]で [挿]をクリックしポリシーを選択して [ OK]をクリックし[作成]をクリックして[閉じる]をクリックします


委任された管理者のカスタムコマンドポリシーの設定

March 26 2020

カスタムコマンドポリシーを設定する場合はポリシー名を指定しポリシーコンポーネントを設定してコマンド仕様を作成しますコマンド仕様では管理者が使できるコマンドを制限できますたとえば管理者が removeコマンドを使できないようにする場合ですポリシーを設定するときはアクションを denyに設定してからパラメータを設定します

単純なコマンドポリシーまたは度なコマンドポリシーを設定できます単純なポリシーを構成する場合はCitrixGatewayや認証などのコンポーネントを構成します度なポリシーを設定する場合はエンティティグループと呼ばれるコンポーネントを選択しそのグループ内で管理者が実できるコマンドを選択します


Citrix Gateway 130

単純なカスタムコマンドポリシーを作成するには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ユーザー管理]を展開し[コマンドポリシー]をクリックします


3 [ポリシー名]にポリシーの名前をします

4「アクション」で「許可」または「拒否」を選択します

5 [コマンドスペック]で[追加]をクリックします

6 [コマンドの追加]ダイアログボックスの [簡易]タブの [操作]で委任された管理者が実できる操作を選択します

7「エンティティグループ」で1つ以上のグループを選択します

Ctrlキーを押すと複数のグループを選択できます


度なカスタムコマンドポリシーを作成するには

1 構成ユーティリティのナビゲーションペインの [構成]タブで[システム] gt [ユーザー管理]を展開し[コマンドポリシー]をクリックします





6 [コマンドの追加]ダイアログボックスで[詳細設定]タブをクリックします

7 [エンティティグループ]で認証や可性などコマンドが属するグループを選択します

8 [エンティティ]でポリシーを選択します

Ctrlキーを押すとリスト内の複数の項を選択できます

9「操作」でコマンドを選択し「作成」をクリックしてから「閉じる」をクリックします



11 [コマンドポリシーの作成]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします

[作成]をクリックすると[コマンドポリシーの作成]ダイアログボックスの [コマンドスペック]の下に式が表されます

カスタムコマンドポリシーを作成したらユーザーまたはグループにバインドできます


Citrix Gateway 130

注カスタムコマンドポリシーは作成したユーザーまたはグループにのみバインドできますカスタムコマンドポリシーをユーザー nsrootにバインドすることはできません

カスタムコマンドポリシーをユーザーまたはグループにバインドするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ユーザー管理]を展開し[システムユーザー]をクリックするか[システムグループ]をクリックします

2 詳細情報のウィンドウ領域でリストからユーザーまたはグループを選択し[開く]をクリックします3 [コマンドポリシー]でポリシーを選択し[ OK]をクリックします


Citrix Gatewayでの監査の構成

March 26 2020

Citrix Gatewayではアプライアンスが収集する状態とステータス情報をログに記録できます監査ログを使してイベント履歴を時系列で表できますログ内のメッセージにはメッセージを成したイベントに関する情報タイムスタンプメッセージタイプ定義済みのログレベルとメッセージ情報が含まれますログに記録される情報とメッセージが格納される場所を決定する設定を構成できます

Citrix Gatewayは現在2つのログ形式をサポートしていますローカルログ専のログ形式とSyslogサーバーで使する Syslog形式です監査ログを構成して次の情報を提供できます

レベル説明

緊急重なエラーのみをログに記録しますログ内のエントリはCitrix Gatewayが使できない重な問題が発していることをしています

アラート Citrix Gatewayが正しく機能しない可能性があるが操作に重要ではない問題をログに記録しますCitrixGatewayが重な問題を起こさないようにするにはできるだけ早く修正措置を講じる必要があります

重 Citrix Gatewayの動作を制限しないがきな問題にエスカレーションする可能性がある重な状態をログに記録します

エラー Citrix Gatewayでの操作が失敗したために発したエントリをログに記録します


Citrix Gateway 130

レベル説明

警告エラーまたは重なエラーの原因となる可能性のある問題をログに記録します

通知情報レベルのログよりも詳細な問題をログに記録しますが通知と同じ的を果たします

情報 Citrix Gatewayで実されたアクションをログに記録しますこのレベルは問題のトラブルシューティングに役ちます

TCP圧縮を構成する場合Citrix Gatewayの監査ログには Citrix Gatewayの圧縮統計情報も保存されます異なるデータに対して達成された圧縮率はユーザーセッションごとにログファイルに保存されます

Citrix Gatewayではログ署名のセッション IDが使されますこれによりユーザーごとではなくセッションごとにログを追跡できますセッションの部として成されるログは同じ SessionIDを持ちますユーザーが同じ IPアドレスを使して同じユーザーデバイスから 2つのセッションを確する場合各セッションには意のSessionIDが割り当てられます

重要カスタムログ解析スクリプトを作成している場合はカスタム解析スクリプト内でこのシグニチャを変更する必要があります


Citrix Gatewayでのログの設定

March 26 2020

Citrix Gatewayでログオンを構成する場合監査ログを Citrix Gatewayに保存するかまたは Syslogサーバーに送信するかを選択できます監査ポリシーを作成し監査ログを保存する設定を構成するには構成ユーティリティを使します

監査ポリシーを作成するには

1 構成ユーティリティの [構成]タブで[ Citrix Gateway ][ポリシー][監査]の順に展開します2 [名前]にポリシーの名前をします3 次のいずれかを選択します

bull Syslogサーバにログを送信する場合はSyslogbull［Nslog］をクリックしてログを Citrix Gatewayに保存します


Citrix Gateway 130

注このオプションを選択するとログはアプライアンスの varlogフォルダに保存されます4 詳細ウィンドウで[追加]をクリックします5 ログが格納されているサーバー情報について次の情報をします

bull [名前]にサーバーの名前をしますbull [サーバー]にログサーバーの名前または IPアドレスをします


監査ポリシーを作成したらポリシーを次の組み合わせにバインドできます

bull グローバルbull 仮想サーバーbull グループbull ユーザー

監査ポリシーをグローバルにバインドするには

1 構成ユーティリティの [構成]タブで[ Citrix Gateway ][ポリシー][監査]の順に展開します2 [ Syslog ]または [ Nslog ]のいずれかを選択します3 詳細ウィンドウで[操作]をクリックし[グローバルバインド]をクリックします4 [監査ポリシーをグローバルにバインドバインド解除 ]ダイアログボックスの [詳細]で[ポリシーの挿]をクリックします

5 [ポリシー名]でポリシーを選択し[ OK]をクリックします

監査ポリシーを変更するには

既存の監査ポリシーを変更してログの送信先サーバーを変更できます

1 構成ユーティリティの「構成」タブで「Citrix Gateway」gt「ポリシー」gt「監査」の順に展開します2 [ Syslog ]または [ Nslog ]のいずれかを選択します3 詳細ペインでポリシーをクリックし[開く]をクリックします4 [サーバー]で新しいサーバーを選択し[ OK]をクリックします

監査ポリシーを削除するには

Citrix Gatewayから監査ポリシーを削除できます監査ポリシーを削除するとポリシーは動的にバインド解除されます

1 構成ユーティリティの [構成]タブで[ Citrix Gateway ][ポリシー][監査]の順に展開します2 [ Syslog ]または [ Nslog ]のいずれかを選択します3 詳細情報のウィンドウ領域でポリシーをクリックし[削除]をクリックします


Citrix Gateway 130


ACLロギングの設定

March 26 2020

拡張アクセス制御リスト（ACL）と致するパケットの詳細をログに記録するように Citrix Gatewayを構成できますACL名に加えてログに記録される詳細には送信元および宛先 IPアドレスなどのパケット固有の情報が含まれます情報は有効にするログのタイプ（Syslogまたは nslog）に応じてsyslogまたは nslogファイルに保存されます

ロギングはグローバルレベルと ACLレベルの両で有効にできますただしACLレベルでロギングを有効にするにはグローバルレベルでも有効にする必要がありますグローバル設定が優先されます

ロギングを最適化するために同じフローからの複数のパケットが ACLと致する場合最初のパケットの詳細だけがログに記録されますカウンタは同じフローに属する他のすべてのパケットに対して増分されますフローは次のパラメータに同じ値を持つパケットのセットとして定義されます

bull 接続元 IPbull 接続先 IPbull 送信元ポートbull 送信先ポートbull プロトコル（TCPまたは UDP）

パケットが同じフローからのものでない場合または期間が平均時間を超えている場合は新しいフローが作成されます平均時間は同じフローのパケットが追加のメッセージを成しない時間です（ただしカウンタが増加します）

注任意の時点でログに記録できる異なるフローの合計数は 10000に制限されています

次の表では拡張 ACLのルールレベルで ACLロギングを設定できるパラメータについて説明します

パラメーター名説明

[ログ状態] ACLのロギング機能の状態設定可能な値ENABLEDと DISABLEDデフォルトDISABLED

Ratelimit 特定の ACLが成できるログメッセージの数デフォルトは 100です


Citrix Gateway 130

構成ユーティリティを使して ACLロギングを構成するには

ACLのロギングを設定しルールが成できるログメッセージの数を指定できます

1 構成ユーティリティのナビゲーションペインで[システム] gt [ネットワーク]を展開し[ACL]をクリックします

2 詳細ウィンドウで[拡張 ACL ]タブをクリックし[追加]をクリックします3 [拡張 ACLの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [ログの状態]チェックボックスをオンにします5 [ログレート制限]テキストボックスにルールに指定するレート制限をし[作成]をクリックします

ACLロギングを構成したらCitrix Gatewayで有効にすることができます監査ポリシーを作成しユーザーグループ仮想サーバーまたはグローバルにバインドします

Citrix Gatewayで ACLまたは TCPログを有効にするには

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］gt［ポリシー］gt［監査］の順に展開します

2 syslogまたは nslogのいずれかを選択します3 [サーバー]タブで[追加]をクリックします4 [監査サーバーの作成]ダイアログボックスの [名前]にサーバーの名前をしサーバーの設定を構成します

5 [ ACLロギング]または [ TCPロギング]をクリックし[作成]をクリックします


Citrix Gatewayプラグインのログ記録の有効化

March 26 2020

ユーザーデバイスに保存されているテキストファイルにすべてのエラーをログに記録するようにCitrix Gatewayプラグインを構成できますユーザーはCitrix Gatewayプラグインを構成してユーザーデバイスでのログオンレベルを設定し特定のユーザーアクティビティを記録できますユーザーがロギングを構成するとプラグインによってユーザーデバイス上に次の 2つのファイルが作成されます

bull hooklog ltnumgt txtはCitrix Gatewayプラグインが成する傍受メッセージをログに記録します

bull nssslvpntxtプラグインのエラーが覧表されます


Citrix Gateway 130

注 hooklogtxtファイルは動的には削除されません定期的にファイルを削除することをお勧めします

ユーザーログはユーザーデバイス上のWindowsの次のディレクトリにあります

bull Windows XP (all users) SystemDriveDocuments and SettingsAll UsersApplicationDataCitrixAGEE

bull Windows XP (user-specific) SystemDriveDocuments and SettingsusernameLocalSettingsApplication DataCitrixAGEE

bull Windows Vista (all users) SystemDriveProgramDataCitrixAGEEbull Windows Vista (user-specific) SystemDriveUsersusernameAppDataLocalCitrixAGEEbull Windows 7 (all users) SystemDriveProgramDataCitrixAGEEbull Windows 7 (user-specific) SystemDriveUsersusernameAppDataLocalCitrixAGEEbull Windows 8 (all users) SystemDriveProgramDataCitrixAGEEbull Windows 8 (user-specific) SystemDriveUsersusernameAppDataLocalCitrixAGEE

これらのログファイルを使してCitrix Gatewayプラグインのトラブルシューティングをうことができますユーザーはログファイルをテクニカルサポートに電メールで送信できます

［構成］ダイアログボックスでCitrix Gatewayプラグインのログレベルを設定できますログレベルは次のとおりです

bull エラーメッセージを記録するbull イベントメッセージを記録するbull Citrix Gatewayプラグインの統計を記録するbull すべてのエラーイベントメッセージおよび統計を記録する

ログを有効にするには

1 ユーザーデバイスで通知領域にある Citrix Gatewayのアイコンを右クリックし［Citrix Gatewayの構成］をクリックします

2 [トレース]タブをクリックしログレベルを選択して [OK]をクリックします

注［構成］ダイアログボックスを開くにはCitrix Gatewayプラグインを使してログオンする必要があります


ICA接続を監視するには

March 26 2020


Citrix Gateway 130

「ICA接続」ダイアログボックスを使してサーバーファーム上のアクティブなユーザーセッションを監視できますこのダイアログボックスには次の情報が表されます

bull サーバーファームに接続しているユーザーのユーザー名bull サーバーファームのドメイン名bull ユーザーデバイスの IPアドレスbull ユーザーデバイスのポート番号bull Citrix Virtual Apps and Desktopsを実しているサーバーの IPアドレスbull Citrix Virtual Apps and Desktopsを実しているサーバーのポート番号

1 構成ユーティリティのナビゲーションペインで［Citrix ADC Gateway］をクリックします2 詳細ペインの [モニタの接続]で[ICA接続]をクリックして[モニタリング]ダイアログボックスを表します


Citrix製品との統合

March 26 2020

Citrix Gatewayのインストールと構成を担当するシステム管理者はCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceで動作するようにアプライアンスを構成できます

ユーザーは内部ネットワークまたはリモートの場所から直接 Endpoint Managementに接続できますユーザーが接続するとWebSaaSおよびモバイルアプリにアクセスできますまたShareFileにあるドキュメントをどのデバイスからでも操作できます

Citrix Gatewayを介したサーバーファームへのユーザー接続を許可するにはStoreFrontまたはWeb Interfaceおよび Citrix Gatewayで設定を構成しますユーザーが接続すると公開アプリケーションおよび仮想デスクトップにアクセスできます

Citrix Gatewayを Endpoint ManagementStoreFrontおよびWeb Interfaceと統合するための構成順は次のことを前提としています

bull Citrix Gatewayは DMZ内に存在し既存のネットワークに接続されていますbull Citrix Gatewayはスタンドアロンアプライアンスとして展開されリモートユーザーは Citrix Gatewayに直接接続します

bull StoreFrontEndpoint ManagementCitrix Virtual AppsCitrix Virtual Desktopsおよび WebInterfaceは安全なネットワークに存在します

bull ShareFileはEndpoint Managementで設定されますShareFileの詳細についてはShareFileトピックとユーザーアクセスの ShareFile構成トピックを参照してください


Citrix Gateway 130

StoreFrontと Endpoint Management展開法はモバイルデバイスに提供するアプリによって異なりますMDX Toolkit でラップされた MDX アプリにユーザーがアクセスできる場合Endpoint Management はセキュアネットワークの StoreFront の前に存在しますMDX アプリケーションへのアクセスを提供しない場合StoreFrontはセキュアネットワークの Endpoint Managementの前に存在します


ユーザーがアプリケーションデスクトップShareFileに接続する法

March 26 2020

展開環境に Citrix Endpoint Managementがある場合ユーザーは次の法で接続できます

bull 内部ネットワークのリソースへの完全な VPNトンネルを確する Citrix Gatewayプラグインセッションプロファイルを作成してWindowsの Citrix GatewayプラグインまたはMacの Citrix Gatewayプラグインを選択しますユーザーがプラグインを使してログオンするとエンドポイントの分析スキャンをユーザーデバイスで実できます

注エンドポイント分析スキャンをMacコンピューターで実できるようにするにはCitrix Gateway 101Build 1201316e以降をインストールする必要があります

bull Citrix Workspaceアプリを使してShareFileから Endpoint Managementを介してウェブSaaSエンタープライズアプリケーションWebリンクおよびドキュメントに接続しますユーザーが CitrixWorkspaceアプリでログオンするとCitrix Gatewayは接続を Endpoint ManagementにルーティングしますCitrix Workspaceアプリが接続を確するとユーザーのアプリケーションとドキュメントがCitrix Workspaceアプリに表されますユーザーが Citrix WorkspaceアプリでログオンしEndpointManagementに直接接続する場合はCitrix Gatewayでクライアントレスアクセスを有効にする必要がありますこの展開ではStoreFrontは必要ありません

bull Citrix Workspaceアプリを使してStoreFrontまたはWeb Interfaceを介して公開アプリケーションおよび仮想デスクトップに接続できますユーザーが Citrix WorkspaceアプリでログオンするとCitrixGatewayは StoreFrontまたはWeb Interfaceへの接続をルーティングしますCitrix Workspaceアプリが接続を確するとユーザーアプリケーションとデスクトップが Citrix Workspaceアプリに表されます

bull Secure HubはEndpoint Managementを介してモバイルデバイスからWorxMailやWorxWebなどの iOS および Android アプリに接続しますユーザーはSecure Hub にログオンするとEndpointManagementで設定したモバイルアプリにアクセスできますCitrix GatewayがMicro VPN接続を確するとユーザーのモバイルアプリが Secure Hubウィンドウに表されますユーザーは Secure Hubからアプリを起動できます部のアプリではユーザーがモバイルデバイスにアプリをダウンロードしてインストールする必要があります

前述のシナリオのいずれかでユーザーが Citrix Gateway経由で接続する場合は次の操作をいます


Citrix Gateway 130

bull ユーザーはCitrix Gatewayプラグインまたは Citrix Workspaceアプリを使してログオンします初めてログオンするにはユーザーがWebブラウザーを開きCitrix Gatewayまたは Citrix Workspaceアプリの完全修飾ドメイン名（FQDN）をしますモバイルデバイスを持つユーザーはSecure Hubを使してログオンします

bull ログオンページでユーザーは分の資格情報をし認証されますbull 認証後ユーザーセッションは展開環境に応じて StoreFrontまたは Endpoint Managementにリダイレクトされます

bull StoreFrontと Endpoint Managementの両を展開する場合Citrix Gatewayは展開の最初のサーバーに接続しますたとえばEndpoint ManagementでMDXモバイルアプリを構成する場合EndpointManagement背後に StoreFrontを展開しますMDXモバイルアプリケーションへのアクセスを提供しない場合はStoreFrontの背後に Endpoint Managementを展開します

bull ユーザーのデスクトップドキュメントWebSaaSWindowsベースのアプリケーションはすべて CitrixWorkspaceアプリまたは Secure Hubに表されます

Exchangeファイル共有内部Webサイトなど内部ネットワーク上の他のリソースにアクセスする必要がある場合はCitrix Gatewayプラグインを使してログオンすることもできますたとえばユーザーがネットワーク内のMicrosoft Exchangeサーバーに接続する場合ユーザーは分のコンピュータで Outlookを起動しますセキュアな接続はCitrix Gatewayに接続する Citrix Gatewayプラグインを使してわれますSSL VPNトンネルが Exchange Serverに作成されユーザは分の電メールにアクセスできます

重要Citrix Gateway仮想サーバーで認証を構成することをお勧めしますCitrix Gatewayで認証を無効にすると認証されていない HTTPリクエストが内部ネットワークのWeb InterfaceStoreFrontまたはEndpoint Managementを実しているサーバーに直接送信されます


Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使した展開

April 9 2020

ユーザーはWindowsWebSaaSおよびモバイルアプリケーションおよびネットワークでホストされている仮想デスクトップに接続できますCitrix GatewayCitrix Endpoint Managementおよび Citrix VirtualApps and Desktopsを使してリモートユーザーおよび内部ユーザーにアプリケーションおよびデスクトップへのアクセスを提供できますCitrix Gatewayはユーザーを認証しCitrix Workspaceアプリまたは SecureHubを使してアプリケーションへのアクセスを許可します

ユーザーはCitrix Workspaceアプリと StoreFrontを使してCitrix Virtual Appsで公開されたWindowsベースのアプリと Citrix Virtual Desktopsで公開された仮想デスクトップに接続します


Citrix Gateway 130

Citrix Endpoint Management にはユーザーが WebSaaSおよび MDX アプリケーションに接続できるようにする Citrix Endpoint Managementが含まれていますEndpoint ManagementではShareFileドキュメントとともにシングルサインオン（SSO）のウェブSaaSMDX アプリケーションを管理できますEndpoint Managementは内部ネットワークにインストールしますリモートユーザーはCitrix Gatewayを介して Endpoint Managementに接続しアプリケーションおよび ShareFileデータにアクセスしますリモートユーザーはCitrix GatewayプラグインCitrix Workspaceアプリまたは Secure Hubのいずれかを使して接続しアプリケーションおよび ShareFile にアクセスできます内部ネットワークにいるユーザーはCitrix Workspaceアプリを使して Endpoint Managementに直接接続できます次の図はEndpointManagementと StoreFrontを使して展開された Citrix Gatewayをしています

展開環境でEndpoint ManagementからMDXアプリケーションにアクセスできStoreFrontからWindowsベースのアプリケーションにアクセスできる場合は次の図にすようにStoreFront の前に EndpointManagementを展開します

図 1StoreFrontの前で Endpoint Managementを使した Citrix Gatewayの展開

展開環境で MDXアプリケーションへのアクセスが提供されていない場合StoreFrontは次の図にすようにEndpoint Managementの前に存在します

図 2Endpoint Managementの前で StoreFrontを使した Citrix Gatewayの展開

展開するたびにStoreFrontと Endpoint Managementが内部ネットワークに存在しCitrix GatewayがDMZに存在する必要がありますEndpoint Managementの展開について詳しくは「Endpoint Managementインストール」を参照してくださいStoreFrontの展開について詳しくは「StoreFront」を参照してください


Web Interfaceを使した Citrix Virtual Apps and Desktopsリソースへのアクセス

March 26 2020

Citrix Virtual Apps and Desktopsを実している 1台以上のコンピューターがサーバーファームを作成します企業ネットワークにサーバーファームが含まれている場合はCitrix Gatewayを展開してWeb Interfaceを使して公開アプリケーションまたは仮想デスクトップにセキュアなインターネットアクセスを提供できます

このような展開ではCitrix GatewayはWeb Interfaceおよび Secure Ticket Authorority（STA）と連携してCitrix Virtual Appsを実しているコンピューターでホストされている公開アプリケーションまたは Citrix VirtualDesktopsが提供する仮想デスクトップへの認証承認リダイレクトをいます


Citrix Gateway 130

この機能はCitrix GatewayとWeb InterfaceCitrix Virtual Appsおよびデスクトップを統合することによって実現されますこの統合により度な認証とWeb Interfaceへのアクセス制御オプションが提供されますWebInterfaceの詳細についてはCitrixドキュメントライブラリのWeb Interfaceドキュメントを参照してください

サーバーファームへのリモート接続にはCitrix Gatewayプラグインは必要ありません公開アプリケーションまたはデスクトップにアクセスするにはユーザーは Citrix Workspaceアプリを使して接続します


Citrix Gatewayと Citrix Virtual Apps and Desktopsの統合

April 9 2020

ユーザー接続に Citrix Gateway を構成する場合Citrix 仮想アプリCitrix Virtual Desktopsまたはその両へのネットワークトラフィックの設定を含めることができますこれをうにはCitrix GatewayとWebInterfaceが相互に通信するように構成します

これらの製品を統合するためのタスクは次のとおりです

bull Citrix Virtual Apps and DesktopsファームでWeb Interfaceサイトを作成するbull Citrix Gateway経由でユーザー接続をルーティングするためのWeb Interface内の設定を構成するbull Web Interfaceおよび Secure Ticket Authority（STA）と通信するように Citrix Gatewayを構成する

またダブルホップ DMZに Citrix Gatewayを展開することでCitrix Virtual Appsサーバーファームと通信するように Citrix Gatewayを構成することもできます詳しくは「ダブルホップ DMZでの Citrix Gatewayの展開」を参照してください

Citrix GatewayおよびWeb InterfaceはSTAおよび Citrix XMLサービスを使してユーザー接続を確しますSTAおよび XMLサービスはCitrix Virtual Apps and Desktopsサーバー上で実されます


サーバファームへのセキュアな接続の確

March 26 2020

以下の例はDMZにデプロイされた Citrix GatewayがWeb Interfaceと連携してセキュアなエンタープライズネットワークで使可能な公開リソースへのセキュアな単アクセスポイントを提供する法をしています

この例では次のすべての条件が存在します


Citrix Gateway 130

bull インターネットからのユーザーデバイスはCitrix Workspaceアプリを使して Citrix Gatewayに接続します

bull Web Interfaceは安全なネットワーク内の Citrix Gatewayの背後に存在しますユーザーデバイスによって Citrix Gatewayへの初期接続が確されその接続がWeb Interfaceに渡されます

bull セキュアネットワークにはサーバファームが含まれていますこのサーバーファーム内の 1つのサーバーがSecure Ticket Authority（STA）と Citrix XMLサービスを実しますSTAと XMLサービスはCitrixVirtual Apps and Desktopsのいずれかで実できます

プロセスの概要サーバーファームで公開されたリソースへのユーザーアクセス

1 リモートユーザーはCitrix Gatewayのアドレス（例httpswwwagwxycocom）をWebブラウザのアドレスフィールドにしますユーザーデバイスはポート 443でこの SSL接続を試します接続が成功するにはファイアウォールを介して開かれている必要があります

2 Citrix Gateway は接続要求を受信しユーザーに資格情報のを求められます資格情報は CitrixGateway経由で戻されユーザーが認証され接続がWeb Interfaceに渡されます

3 Web Interfaceはサーバーファームで実されている Citrix XMLサービスにユーザーの資格情報を送信します

4 XMLサービスはユーザーの資格情報を認証しユーザーがアクセスを許可されている公開アプリケーションまたはデスクトップのリストをWeb Interfaceに送信します

5 Web Interfaceではユーザーがアクセスを許可されている公開リソース（アプリケーションまたはデスクトップ）のリストがWebページにされこのWebページをユーザーデバイスに送信します

6 ユーザーが公開アプリケーションまたはデスクトップリンクをクリックしますユーザーがクリックした公開リソースをす HTTPリクエストがWeb Interfaceに送信されます

7 WebインタフェースはXMLサービスと対話し公開されたリソースが実されているサーバーをすチケットを受け取ります

8 Web Interfaceはセッションチケット要求を STAに送信しますこの要求は公開リソースが実されるサーバーの IPアドレスを指定しますSTAがこの IPアドレスを保存し要求されたセッションチケットをWeb Interfaceに送信します

9 Web InterfaceによりSTAが発したチケットを含む ICAファイルが成されユーザーデバイスのWebブラウザに送信されますWeb Interfaceによって成された ICAファイルにはCitrix Gatewayの完全修飾ドメイン名（FQDN）またはドメインネームシステム（DNS）名が含まれています要求されたリソースを実しているサーバーの IPアドレスがユーザーに公開されることはありません

10 ICAファイルにはWebブラウザに Citrix Workspaceアプリを起動するように指するデータが含まれていますユーザーデバイスはICAファイル内の Citrix Gatewayの FQDNまたは DNS名を使して CitrixGatewayに接続します初期 SSLTLSハンドシェイクが実されCitrix Gatewayのアイデンティティが確されます

11 ユーザーデバイスがセッションチケットを Citrix Gatewayに送信しCitrix Gatewayが STAに接続してチケットの検証をいます

12 STAは要求されたアプリケーションが存在するサーバーの IPアドレスを Citrix Gatewayに返します


Citrix Gateway 130

13 Citrix Gatewayはサーバーへの TCP接続を確します14 Citrix Gatewayはユーザーデバイスとの接続ハンドシェイクを完了しサーバーとの接続が確されたこと

をユーザーデバイスに通知しますユーザーデバイスとサーバー間のトラフィックはすべてCitrix Gatewayを介してプロキシされますユーザーデバイスと Citrix Gatewayの間のトラフィックは暗号化されますCitrix Gatewayとサーバー間のトラフィックは個別に暗号化できますがデフォルトでは暗号化されません


Web Interfaceを使したデプロイ

April 9 2020

Citrix Gatewayを展開して CitrixCitrix Virtual Apps and Desktopsへのセキュアなリモートアクセスを提供する場合Citrix GatewayはWeb Interfaceおよび Secure Ticket Authorority（STA）と連携してサーバーファームでホストされている公開アプリケーションおよびデスクトップへのアクセスを提供します

DMZでの Citrix Gatewayの展開はCitrix Gatewayがサーバーファームで動作する場合の最も般的な構成ですこの構成ではCitrix GatewayはWebブラウザーと Citrix Workspaceアプリに対してWeb Interfaceを介して公開されたリソースにアクセスするための安全な単アクセスポイントを提供しますこのセクションではこの展開オプションに関する基本的な側について説明します

組織のネットワーク構成によってCitrix Gatewayがサーバーファームで動作する場合の展開場所が決まります次の 2つのオプションが使できます

bull 組織が単の DMZで内部ネットワークを保護する場合はDMZに Citrix Gatewayを展開しますbull 組織が 2つの DMZを使して内部ネットワークを保護する場合はダブルホップ DMZ構成内の 2つのネットワークセグメントそれぞれに 1つの Citrix Gatewayを展開します詳しくは「ダブルホップ DMZでのCitrix Gatewayの展開」を参照してください注セキュアネットワーク内の 2番の Citrix Gatewayアプライアンスでダブルホップ DMZを構成することもできます

サーバーファームへのリモートアクセスを提供するために Citrix Gatewayを DMZに展開する場合以下の 3つの展開オプションのいずれかを実装できます

bull DMZ内の Citrix Gatewayの背後にあるWeb Interfaceを展開しますこの構成では次の図にすようにCitrix GatewayとWeb Interfaceの両が DMZに展開されます最初のユーザー接続は Citrix Gatewayに送信されWeb Interfaceにリダイレクトされます図 1DMZ内の Citrix Gatewayの背後にあるWeb Interface

bull DMZ の Web Interface と並して Citrix Gateway を展開しますこの構成ではCitrix Gateway とWeb Interfaceの両が DMZに展開されますが最初のユーザー接続は Citrix GatewayではなくWebInterfaceに送信されます


Citrix Gateway 130

bull DMZに Citrix Gatewayを展開し内部ネットワークにWeb Interfaceを展開しますこの構成ではCitrixGatewayはユーザーの要求を認証してからセキュリティで保護されたネットワーク内のWeb Interfaceに要求を中継しますWeb Interfaceは認証を実しませんがSTAと対話して ICAファイルを成しICAトラフィックが Citrix Gateway経由でサーバーファームにルーティングされるようにします

Web Interfaceを展開する場所は次のようなさまざまな要因によって異なります

bull 認証ユーザーがログオンするとCitrix GatewayまたはWeb Interfaceでユーザーの資格情報を認証できますWeb Interfaceをネットワークに配置することはユーザーが認証する場所を部分的に決定する要素です

bull ユーザーソフトウェアユーザーはCitrix Gatewayプラグインまたは Citrix Workspaceアプリを使してWeb Interfaceに接続できますCitrix Workspaceアプリのみを使してユーザーがアクセスできるリソースを制限したりCitrix Gatewayプラグインを使してユーザーにネットワークアクセスを強化したりできますユーザーの接続法およびユーザーの接続を許可するリソースはネットワーク内のWebInterfaceを展開する場所を決定するのに役ちます


セキュアネットワークでのWeb Interfaceの展開

March 26 2020

この展開ではWeb Interface は安全な内部ネットワークに存在しますCitrix Gateway は DMZ にありますCitrix GatewayはWeb Interfaceにリクエストを送信する前にユーザーのリクエストを認証します

セキュリティで保護されたネットワークにWeb Interfaceを展開する場合はCitrix Gatewayで認証を構成する必要があります

Citrix Virtual Apps and Desktopsを使してWeb Interfaceを展開する場合Web Interfaceをセキュリティで保護されたネットワークに展開することがデフォルトの展開シナリオですデスクトップ Delivery ControllerーをインストールするとカスタムバージョンのWeb Interfaceもインストールされます

重要Web Interfaceが安全なネットワーク内にある場合はCitrix Gatewayで認証を有効にする必要がありますユーザーはCitrix Gatewayに接続し資格情報をしてWeb Interfaceに接続します認証を無効にすると認証されていないHTTP要求はWeb Interfaceを実しているサーバーに直接送信されますCitrixGatewayでの認証を無効にするのはWeb Interfaceが DMZ内にありユーザーがWeb Interfaceに直接接続する場合のみです

図 1セキュアなネットワーク内にあるWeb Interface



Citrix Gateway 130

DMZでの Citrix Gatewayと並してWebインターフェイスを展開する

March 26 2020

この展開ではWeb Interfaceと Citrix Gatewayの両が DMZに存在しますユーザーはWebブラウザーまたは Citrix Workspaceアプリを使してWeb Interfaceに直接接続しますユーザー接続は最初に認証のためにWeb Interfaceに送信されます認証後接続は Citrix Gateway経由でルーティングされますユーザーはWeb Interfaceに正常にログオンするとサーバーファーム内の公開アプリケーションまたはデスクトップにアクセスできますユーザーがアプリケーションまたはデスクトップを起動するとWeb Interfaceによって ICAファイルが送信されますこのファイルはSecure Gateway Gatewayを実しているサーバーであるかのように CitrixGateway経由で ICAトラフィックをルーティングする順が含まれていますWeb Interfaceによって配信されるICAファイルにはSecure Ticket Authority（STA）によって成されたセッションチケットが含まれています

Citrix Workspaceアプリが Citrix Gatewayに接続するとチケットが表されますCitrix Gatewayは STAに接続しセッションチケットを検証しますチケットがまだ有効な場合ユーザーの ICAトラフィックはサーバーファーム内のサーバーに中継されます次の図はこの展開をしています

図 1Citrix Gatewayと並してインストールされるWeb Interface

Web Interfaceが DMZで Citrix Gatewayと並して実されている場合はCitrix Gatewayで認証を構成する必要はありませんWeb Interfaceはユーザーを認証します


DMZでの Citrix Gatewayの背後にあるWebインターフェイスの展開

March 26 2020

この構成ではCitrix GatewayとWeb Interfaceの両が DMZに展開されますユーザーが Citrix Workspaceアプリでログオンすると最初のユーザー接続は Citrix Gatewayに送信されWeb Interfaceにリダイレクトされますすべての HTTPSおよび ICAトラフィックを単の外部ポート経由でルーティングし単の SSL証明書の使を要求するにはCitrix GatewayはWeb InterfaceのリバースWebプロキシとして機能します

図 1Citrix Gatewayの背後にあるWeb Interface

Web Interfaceを DMZの Citrix Gatewayの背後に展開する場合アプライアンス上で認証を構成することはできますが必須ではありません両が DMZに存在するためCitrix GatewayまたはWeb Interfaceでユーザーを認証できます



Citrix Gateway 130

Web Interfaceサイトの動作設定

March 26 2020

Web Interface を使するとユーザーは Citrix Virtual Apps アプリケーションやコンテンツおよび CitrixVirtual Desktopsにアクセスできますユーザーは標準のWebブラウザまたは Citrix Workspaceアプリを使して公開アプリケーションおよびデスクトップにアクセスします

アクセス管理コンソールを使してWeb Interface 51サイトを構成しWeb Interface管理コンソールを使してバージョン 5253および 54のWeb Interfaceサイトを作成できますコンソールはWindowsベースのプラットフォームにのみインストールできます

Citrix Gatewayと連携するようにWeb Interfaceを構成するには以下を実する必要があります

bull 使しているバージョンのWeb Interfaceサイトを作成しますbull Web Interfaceで設定をいますbull Citrix GatewayでWeb Interface設定を構成します


Web Interfaceの機能

March 26 2020

Citrix Gatewayで動作するようにWeb Interfaceを構成する前にCitrix Virtual AppsのWebサイトと CitrixVirtual Appsサービスサイトの違いを理解する必要があります

bull Citrix Virtual AppsWebサイトWeb InterfaceはCitrix Virtual Apps Webサイトを作成および管理するための機能を提供しますユーザーはWebブラウザとプラグインを使して公開リソースやストリーム配信アプリケーションにリモートでアクセスします

bull Citrix Virtual AppsサービスサイトCitrix Virtual Appsは柔軟性と構成の容易さを考慮して設計されたプラグインですCitrix Virtual AppsをWeb Interface上の Citrix Virtual Appsサービスサイトと組み合わせて使することで公開リソースをユーザーのデスクトップと統合できますユーザーはデスクトップまたは [スタート]メニューのアイコンをクリックするかコンピュータデスクトップの通知領域をクリックしてリモートアプリケーションとストリームアプリケーションおよびリモートデスクトップとコンテンツにアクセスしますオーディオディスプレイログオンの設定などユーザーがアクセスして変更できる構成オプションを決定できます

注このオプションを選択すると仮想デスクトップへのアクセスはサポートされていません


Citrix Gateway 130

詳細についてはCitrix eDocsライブラリの［テクノロジ］ノードにあるWeb Interfaceのドキュメントを参照してください


Web Interfaceのサイトのセットアップ

April 9 2020

セキュアなネットワークに Web Interfaceを展開しCitrix Gatewayで認証を構成するとユーザーが CitrixGatewayに接続するとアプライアンスはユーザーを認証します

重要Citrix Gatewayを構成する前にWeb Interfaceをインストールして構成してください詳細についてはCitrix eDocsライブラリの［テクノロジ］ノードにあるWeb Interfaceのドキュメントを参照してください

Web Interfaceサイトを作成する順は次のとおりです

bull ユーザーのログオン法を選択しますこれはWebブラウザCitrix Gatewayプラグインまたは CitrixWorkspaceアプリを介してうことができます詳細についてはWeb Interfaceの機能を参照してください

bull ユーザーの認証元を特定しますCitrix GatewayまたはWeb Interface

注Web Interfaceがセキュアなネットワーク内にある場合はCitrix Gatewayの仮想サーバーで認証を有効にします認証を無効にすると認証されていない HTTP要求はWeb Interfaceを実しているサーバーに直接送信されますCitrix Gatewayでの認証を無効にするのはWeb Interfaceが DMZ内にありユーザーがWeb Interfaceに直接接続する場合のみです

Citrix Gatewayに有効なサーバー証明書をインストールしてください証明書の取り扱いについて詳しくは「証明書のインストールと管理」を参照してください

重要Web Interfaceを Citrix Gateway 101で正しく動作させるにはWeb Interfaceを実するサーバーが Citrix Gateway証明書を信頼し仮想サーバーの完全修飾ドメイン名（FQDN）を正しい IPアドレスに解決できる必要があります


Web Interface 54サイトの作成

March 26 2020


Citrix Gateway 130

Citrix Web Interface管理コンソールはMicrosoft管理コンソール（MMC）30スナップインでMicrosoftインターネットインフォメーションサービス（IIS）でホストされている Citrix Virtual Apps Webサイトおよび CitrixVirtual Appsサービスサイトを作成および構成できますWeb Interfaceサイトの種類は左側のウィンドウに表されます中央の結果ウィンドウには左側のウィンドウで選択したサイトタイプコンテナ内で使可能なサイトが表されます

Citrix Web Interface管理コンソールを使すると常の管理タスクをすばやく簡単に実できます[操作]ウィンドウには現在使可能なタスクが覧表されます左ペインで選択したアイテムに関連するタスクが上部に表され結果ペインで選択したアイテムに対して使可能なアクションが下に表されます

コンソールを使する場合コンソールを使して変更をコミットすると設定が有効になりますその結果部のWeb Interface設定はその値が現在の構成に関連せず対応する設定がWebInterfaceconfのデフォルト値にリセットされると無効になることがありますサイトのWebInterfaceconfファイルと configxmlファイルのバックアップを定期的に作成することをお勧めします

MicrosoftインターネットインフォメーションサービスのWeb InterfaceをインストールするとCitrix WebInterface Managementコンソールが動的にインストールされます［スタート］＞［すべてのプログラム］＞［Citrix］＞［管理コンソール］＞［Citrix Web Interface管理］の順にクリックしてコンソールを実します

注Web Interfaceをインストールするサーバー上にMMC 30がインストールされていることを確認する必要がありますこれはCitrix Web Interface管理コンソールをインストールするための前提条件ですMMC 30はWeb InterfaceのホストでサポートされているすべてのWindowsプラットフォームで既定で使できます

設定ファイルの使

Web Interfaceサイトを構成するには次の構成ファイルを編集できます

bull Web Interface構成ファイルWeb Interface構成ファイル WebInterfaceconfを使すると多くのWeb Interfaceのプロパティを変更できますこれはMicrosoftインターネットインフォメーションサービス (IIS)と Javaアプリケーションサーバーの両で使できますこのファイルを使して常的な管理タスクを実しさらに多くの設定をカスタマイズできますWebInterfaceconfの値を編集し更新したファイルを保存して変更を適しますWebInterfaceconfを使してWeb Interfaceを構成する法の詳細についてはCitrix eDocsのテクノロジノードにあるWeb Interfaceのドキュメントを参照してください

bull Citrixオンラインプラグイン構成ファイルCitrixオンラインプラグインはWeb Interfaceサーバー上のconfigxmlファイルを使して構成できます



Citrix Gateway 130

Citrix Web Interface管理コンソールを使したサイトの構成

March 26 2020




Citrix Web Interface管理コンソールはMicrosoft IISWeb Interfaceをインストールすると動的にインストールされます［スタート］＞［すべてのプログラム］＞［Citrix］＞［管理コンソール］＞［Citrix Web Interface管理］の順にクリックしてコンソールを実します



Web Interface54での Citrix Gateway設定の構成

March 26 2020

展開環境で Citrix Gatewayを使するにはアプライアンスをサポートするWeb Interfaceを構成する必要がありますこれをうにはCitrix Web Interface管理コンソールでセキュリティで保護されたアクセスタスクを使します


Citrix Gateway 130

Web Interfaceで Citrix Gateway設定を構成するには

1 Windowsの [スタート]メニューで[すべてのプログラム] gt [Citrix管理コンソール] gt [Citrix Web Interface管理]の順にクリックします

2 Citrix Web Interface管理コンソールの左側のペインで［Citrix Virtual Apps Webサイト］または［CitrixVirtual Appsサービスサイト］のいずれかをクリックし結果ペインでサイトを選択します

3 [操作]ウィンドウで[セキュリティで保護されたアクセス]をクリックします

4 [アクセス法の指定]ページで次のいずれかの操作をいます

bull [Add]をクリックして新しいアクセスルートを追加します

bull リストから既存のルートを選択し[Edit]をクリックします

5 [アクセス法]ボックスの覧で次のいずれかのオプションを選択します

bull Citrixサーバーの実際のアドレスを Citrix Gatewayに送信する場合は「Citrix Gatewayダイレクト」を選択します

bull Citrix Virtual Appsサーバーの代替アドレスを Citrix Gatewayに送信する場合は「Citrix Gatewayの代替」を選択します

注代替アドレスが使されている場合Citrix Virtual Desktopsにはアクセスできません

bull Citrix Gatewayに指定されたアドレスをWeb Interfaceで設定されたアドレス変換マッピングによって決定する場合は「ゲートウェイ変換」を選択します

6 クライアントネットワークを識別するネットワークアドレスとサブネットマスクをします[Move Up]ボタンと [Move Down]ボタンを使して[User device addresses]テーブルでアクセスルートを優先度順に配置し[Next]をクリックします

7 Gatewayアドレス変換を使していない場合はステップ 10に進みますGatewayアドレス変換を使している場合は[アドレス変換の指定]ページで次のいずれかの操作をいます

bull [Add]をクリックして新しいアドレス変換を追加します

bull リストから既存のアドレス変換を選択し[Edit]をクリックします

8 [アクセスタイプ]領域で次のいずれかのオプションを選択します

bull Citrix Gatewayで変換されたアドレスを使して Citrixサーバーに接続する場合は［ゲートウェイルート変換］を選択します

bull［ユーザーデバイスアドレス］テーブルでクライアント変換ルートを構成しCitrixクライアントと CitrixGatewayの両で変換されたアドレスを使して Citrixサーバーに接続する場合は［ユーザーデバイスとGatewayのルート変換］を選択します

9 Citrixサーバーの内部ポートと外部（変換済み）ポートとアドレスをし[OK]をクリックし[次へ]をクリックします


Citrix Gateway 130

Citrix GatewayはCitrixサーバーに接続するときに外部ポート番号とアドレスを使します作成するマッピングがサーバーファームで使されているアドレッシングのタイプと致していることを確認します

10 ［ゲートウェイ設定の指定］ページでクライアントが使する必要のある Citrix Gatewayアプライアンスの完全修飾ドメイン名（FQDN）とポート番号を指定しますFQDNはGatewayにインストールされている証明書の内容と致する必要があります

11 クライアントが動的に再接続を試する間切断されたセッションを開いたままにする場合はCitrixセッションの画の保持を有効にする］を選択します

12 セッション画の保持を有効にし2台の STA（Secure Ticket Authorority）サーバーから同時にチケットを発する場合は「2つの STAからチケットを要求する」を選択しますこのオプションを有効にするとWebInterfaceは 2つの異なる STAからチケットを取得しセッション中に 1つの STAが使できなくなってもユーザーセッションが中断されないようにします何らかの理由でWeb Interfaceが 2つの STAに接続できない場合は1つの STAを使するようにフォールバックします［次へ］をクリックします

13 [Secure Ticket Authority設定の指定]ページで次のいずれかの操作をいます

bull「追加」をクリックしてWebインタフェースが使できる STAの URLを指定しますbull リストからエントリを選択し[Edit]をクリックします

[上へ移動]ボタンと [下へ移動]ボタンを使してSTAを優先順に配置しますSTAはCitrix XMLサービスに含まれています（例http[s]servernamedomaincomscriptsctxstadll）

フォールトトレランスには複数の STAを指定できますがこの的には外部ロードバランサーを使しないことをお勧めします

14 STA間のロードバランシングを有効にするかどうかを選択するには「ロードバランシングに使」を選択します

負荷分散を有効にすると1台のサーバーが過負荷にならないようにサーバー間で接続を均等に分散できます

15 到達不能な STAをバイパスする期間を指定するには[障害が発したサーバをバイパスする]を選択します

Web InterfaceはSTA URLリストのサーバー間にフォールトトレランスを提供するため通信エラーが発した場合指定された期間にわたって障害が発したサーバーはバイパスされます



March 26 2020


Citrix Gateway 130

Web Interface 53サイトを作成するときにWebブラウザーCitrix Workspaceアプリまたは Citrixデスクトップ Citrix Workspaceアプリのいずれかを使してログオンするようにユーザーに要求できますCitrix WebInterface管理コンソールを使して複数のWeb Interfaceサイトを作成できます

Web Interface 53を使したWeb Interfaceに対してはスマートカードを使したシングルサインオンのみを有効にできますこのバージョンのWeb InterfaceはCitrix Virtual Apps 455060で実できます

Web Interface 53は次のオペレーティングシステムで実されます

bull Windows Server 2003bull Windows Server 2008bull Windows Server 2008 R2

注Citrix Virtual Apps 60はWindowsサーバー 2008 R2でのみ実されます

Web Interface 53のサイトを作成するには

1［スタート］＞［すべてのプログラム］＞［Citrix］＞［管理コンソール］＞［Citrix Web Interface管理］の順にクリックします

2 左側のペインで［Citrix Virtual Apps］［Webサイト］を選択しますユーザーはWebブラウザを使してWeb Interfaceにログオンします

3 [操作]メニューの [サイトの作成]をクリックします

4 既定のインターネットインフォメーションサービス (IIS)サイトとパスをそのまま使し[次へ]をクリックします

デフォルトのサイトパスはCitrixCitrix Virtual Appsですパスを指定することもできます

注デフォルトパスを使する既存の Citrix Virtual Apps Webサイトがある場合は新しいサイトを区別するために適切な増分が追加されます

5「ユーザー認証を実する場所の指定」で次のいずれかを選択します

bull Web InterfaceでユーザーがWeb Interfaceを使して認証するようにします

Web Interfaceが武装地帯（DMZ）で Citrix Gatewayと並するスタンドアロンサーバーとして展開される場合はこのオプションを選択します

bull Access GatewayでCitrix Gatewayアプライアンスを使してユーザーを認証します

このオプションを選択した場合Citrix Gatewayはユーザーを認証しWeb Interfaceがアプライアンス上で構成されている場合Web Interfaceへのシングルサインオンを開始します


Citrix Gateway 130

注Citrix Gateway で SmartAccess が構成されている場合この設定では Citrix Virtual Apps andDesktopsで SmartAccessが有効になります

6［次へ］をクリックします

7 順 5の「認証サービスの URL」にCitrix Gateway認証サービスの URLへのWebアドレス（httpsaccesscompanycomCitrixAuthServiceAuthServiceasmxなど）をし「次へ」をクリックします

8 [認証オプション]でユーザーのログオン法を選択します

bull 明的ユーザーはWebブラウザーを使してログオンしますbull スマートカードユーザーはスマートカードを使してログオンします


10 順 8で [スマートカード]を選択した場合は次のいずれかを選択します

1 - ユーザーに PINを要求しますユーザーは公開アプリケーションまたはデスクトップを起動するときに個識別番号 (PIN) をします

2 - 公開アプリケーションまたはデスクトップを起動するときにユーザーはPIN をする必要はありません

設定をす概要画が表されます[次へ]をクリックしてWeb Interfaceサイトを作成しますサイトが正常に作成されるとWeb Interfaceの残りの設定を構成するように求められますウィザードの指に従って構成を完了します



March 26 2020

Web Interface 53サイトを作成したらCitrix Web Interface管理を使して Citrix Gatewayの設定を構成できます

Citrix GatewayのWeb Interface53設定を構成するには



Citrix Gateway 130

2 CitrixのWeb Interface管理の左側のペインで［Citrix仮想アプリケーションのWebサイト］をクリックします

3 [操作]ウィンドウで[セキュリティで保護されたアクセス]をクリックします4［セキュアアクセス設定の編集］ダイアログボックスの［追加］をクリックします5 [アクセスルートの追加]ダイアログボックスでユーザーデバイスアドレスサブネットマスクをし[アクセス法]で [ゲートウェイダイレクト]を選択し[OK]をクリックして[次へ]をクリックしますユーザーデバイスアドレスとサブネットマスクを指定しない場合「Gateway direct」オプションはすべてのユーザーデバイスに適されます「Gateway direct」オプションは内部ネットワークの外部から接続するユーザーデバイスに適しています「Direct」オプションは内部ネットワーク内から接続するユーザーデバイスに適しています

6［アドレス（FQDN）］にCitrix Gatewayの完全修飾ドメイン名（FQDN）をしますこれはCitrixGateway証明書で使されているのと同じ FQDNである必要があります

7［Port］ボックスにポート番号をしますデフォルトは 443です8 セッションの画の保持を有効にするには[セッション画の保持を有効にする]をクリックし[次へ]をクリックします

9「Secure Ticket Authority URL」で「追加」をクリックします10［Secure Ticket Authority URL］にCitrix Virtual Apps XMLサービスを実するマスターサーバーの名

前をし［OK］をクリックし［完了］をクリックしますたとえばhttpCitrix VirtualAppssrv01ScriptsCtxStadllとします

Web Interfaceで設定を構成したらCitrix Gatewayで設定を構成できます


単のサイトへの Citrix Virtual Apps and Desktopsの追加

March 26 2020

Citrix Virtual Apps and Desktopsを実している場合は両のアプリケーションを 1つのWeb Interfaceサイトに追加できますこの構成ではCitrix Virtual Apps and Desktopsから同じ Secure Ticket Authority（STA）サーバーを使できます

注Citrix Virtual DesktopsはWeb InterfaceをサポートしていますWeb Interfaceの最低限必要なバージョンは 50です

Web Interface 53または 54を使している場合はWeb Interface管理コンソールを使して Citrix VirtualApps and Desktopsサイトを組み合わせます


Citrix Gateway 130

注サーバーファームが異なるドメインにある場合はドメイン間で双向の信頼を確する必要があります

Web Interface 53または 54を使して Citrix Virtual Apps and Desktopsを単のサイトに追加するには


2 左側のペインで［Citrix Virtual Apps］［Webサイト］を選択します3 [操作]ウィンドウでサイトを右クリックし[サーバーファーム]をクリックします4 [サーバーファームの管理]ダイアログボックスで[追加]をクリックします5 サーバーファームの設定を完了し[ OK ]を 2回クリックします

Citrix Virtual Desktopsを使する場合はWebInterfaceconf構成ファイルで「ユーザーインターフェイスのブランディング」の設定を「デスクトップ」に変更します


Citrix Gatewayを介したユーザー接続のルーティング

April 9 2020

Citrix Virtual Apps and DesktopsではCitrix Gateway経由でルーティングされる接続のみを受けれるようにサーバーを構成できますCitrix XenApp 65ではCitrixCitrix Gateway経由で接続をルーティングするように Citrixアプリケーションセンターでポリシーを構成しますCitrix Virtual Desktops 71ではCitrix Studioを使して設定を構成します

Citrix Gateway経由でルーティングされた接続のみを受け付けるように Citrix XenApp 65サーバーのプロパティを構成するには

1［スタート］＞［管理ツール］＞［Citrix］＞［管理コンソール］＞［Citrix AppCenter］の順にクリックします2「NetScalerリソース」gt「Citrix Virtual Apps」gt「ファーム名」の順に展開しますファーム名はサーバーファームの名前です

3 [ポリシー]をクリックします4 中央のウィンドウで[コンピューター]または [ユーザー]をクリックし[新規作成]をクリックします5 新しいポリシーウィザードの [名前]にポリシーの名前をし[次へ]をクリックします6 [カテゴリ]の [サーバー設定]をクリックします7 [設定]の [接続アクセス制御]の横にある [追加]をクリックします


Citrix Gateway 130

8［設定の追加］-［接続アクセス制御］ダイアログボックスの［値］で［Citrix Access Gateway接続のみ］を選択し［OK］をクリックします

9 [次へ]を 2回クリックし[作成]をクリックしますCitrix Virtual Appsによってポリシーが作成されます

Citrix Gateway経由でルーティングされた接続のみを受けれるように Citrix Virtual Desktopsサーバーのプロパティを構成するには

デリバリーグループのマシンへのアクセスを制限できますCitrix Gateway経由のユーザー接続をフィルタリングする SmartAccessを使してユーザーのアクセスを制限できますこのタスクはStudioの［ポリシー］ノードで実するかクイックリファレンステーブルで説明されているポリシー設定を使して実できます

1 Studioの［デリバリーグループ］で制限するデリバリーグループを選択します2［デリバリーグループの編集］をクリックし［アクセスポリシー］をクリックします3［アクセスポリシー］ページで［Citrix Gatewayを介した接続］を選択しますCitrix Gatewayを介した接続のみが許可されます

4 これらの接続のサブセットを選択するには[次のいずれかのフィルタを満たす接続]を選択しますa) Citrix Gatewayサイトを定義しますb) デリバリーグループに許可されるユーザーアクセスシナリオを定義する SmartAccess字列を追加編集または削除しますSmartAccessの設定の詳細についてはCitrix Gatewayでの SmartAccess構成を参照してください


Web Interfaceとの通信の設定

March 26 2020

Citrix Virtual Apps and Desktopsで実されているWeb Interfaceと通信するようにCitrix Gatewayを構成できますこれをうにはCitrix Gatewayで仮想サーバーを構成します次に署名付きサーバー証明書と認証セッション事前認証および認証後のポリシーを仮想サーバーにバインドしますCitrix Gatewayは仮想サーバーの IPアドレスを使してユーザー接続をWeb Interfaceにルーティングします

公開アプリケーションウィザードではユーザー接続をWeb Interfaceにルーティングするように Citrix Gatewayを構成できますCitrix Gatewayはユーザー接続に Secure Ticket Authority（STA）を使します



Citrix Gateway 130

公開アプリケーションおよびデスクトップのポリシーの構成

March 26 2020

Citrix Virtual Apps and Desktopsサーバーとの通信を確するにはサーバーを認識するように Citrix Gatewayを構成する必要があります設定をグローバルに構成することもユーザーグループまたは仮想サーバーにバインドされたポリシーを使することもできます

Citrix GatewayでWeb Interfaceをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバル Citrix Gateway設定］ダイアログボックスの［クライアントエクスペリエンス］タブで次の操作をいます

a)「プラグインの種類」で「Java」を選択しますb)「クライアントレスアクセス」で「許可」を選択します

注iOS向け Citrix Workspaceアプリや Android向け Citrix WorkspaceアプリなどVPN対応の Citrix Workspaceアプリをサポートするにはステップ 3を実しますモバイル CitrixWorkspace アプリをサポートするにはあなたはAccess Gateway の最をインストールする必要があります 10 ビルド 696 または Access Gateway 10 ビルド 716014e AccessGateway 93を実している場合はこの順を実する必要はありません

4 [公開アプリケーション]タブの [ICAプロキシ]の横にある [ON]を選択します5 [Web Interfaceアドレス]の横にWeb InterfaceのWebアドレスをし[ OK]をクリックします

Web Interfaceのセッションポリシーを設定するには

セッションポリシーを構成し仮想サーバーにバインドしてWeb Interfaceへのアクセスを制限できます


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [セッションプロファイルの作成]ダイアログボックスの [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで次の操作をいます

a) プラグインの種類の横にある「グローバル上書き」を選択し「Java」を選択しますb)「クライアントレスアクセス」の横にある「グローバル上書き」を選択し「許可」を選択します

7 ICAプロキシの横にある「グローバルオーバーライド」をクリックし「オン」を選択します


Citrix Gateway 130

8 [Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb InterfaceのWebアドレスをして[作成]をクリックします


セッションポリシーを作成したらポリシーを仮想サーバーにバインドします

セッションポリシーを仮想サーバにバインドするには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [ポリシー]タブで[セッション]をクリックし[ポリシーの挿]をクリックします4 リストからセッションポリシーを選択し優先度番号（オプション）をして[OK]をクリックします


公開アプリケーションウィザードによる設定の構成

March 26 2020

Web Interfaceを使して Citrix Gatewayを構成するには次の情報が必要です

bull Citrix Virtual Apps and Desktopsを実しているサーバーの IPアドレスbull Web Interfaceを実しているサーバーの完全修飾ドメイン名（FQDN）bull Citrix Gateway上で構成された仮想サーバーbull SmartAccessに設定されたセッションポリシーbull Web Interfaceフェイルオーバーを構成する場合はWeb Interfaceを実する追加サーバーの IPアドレス

公開アプリケーションウィザードを使してWeb Interface設定を構成するには


2 詳細ウィンドウの [はじめに]で[公開アプリケーションウィザード]をクリックします3 [次へ]をクリックしウィザードの指に従います

公開アプリケーションウィザード内からSecure Ticket Authority（STA）を構成およびアクティブ化できます公開アプリケーションウィザードを完了すると設定はグローバルにバインドされます


Citrix Gateway 130


Citrix Gatewayでの Secure Ticket Authorityの構成

March 26 2020

Secure Ticket Authority（STA）はCitrix Virtual Apps上の公開アプリケーションおよびCitrix Virtual Desktops上の公開デスクトップに対する接続要求に応答してセッションチケットを発する役割を担いますこれらのセッションチケットは公開されたリソースへのアクセスのための認証と承認の基礎を形成します

STAはグローバルにバインドすることも仮想サーバにバインドすることもできますまた仮想サーバを構成するときにSTAを実する複数のサーバを追加することもできます

Citrix Gatewayと STA間の通信をセキュリティで保護する場合はSTAを実するサーバーにサーバー証明書がインストールされていることを確認してください

STAの詳細については記事NetScaler Gateway Secure Ticket Authorityを参照してください

STAをグローバルにバインドするには

1 Citrix Gateway gt［グローバル設定］に移動します


3 [ STAサーバのバインドバインド解除]ダイアログボックスで[追加]をクリックします

4 [ STAサーバーの構成]ダイアログボックスでSTAサーバーのURLをし[作成]をクリックし[ OK ]をクリックします

5 [ STAサーバー]ダイアログボックスの [URL]にSTAを実しているサーバーの IPアドレスまたは完全修飾ドメイン名 (FQDN)をし[作成]をクリックします

注STA を実している複数のサーバをリストに追加できますWeb Interface に表される STA はCitrix Gateway上で構成されている STAと致する必要があります複数の STAを構成する場合はCitrix Gatewayと STAを実しているサーバー間で負荷分散を使しないでください


1［Citrix Gateway］gt［仮想サーバー］に移動します2 詳細ウィンドウで仮想サーバーを選択し[編集]をクリックします


Citrix Gateway 130

3 [公開アプリケーション]タブの [Secure Ticket Authority]で[追加]をクリックします4 [ STAサーバの構成]ダイアログボックスでSTAサーバの URLをし[作成]をクリックします5 ステップ 4を繰り返して STAサーバを追加し[ OK]をクリックします


Citrix Gatewayでの追加のWeb Interface設定の構成

April 9 2020

Citrix GatewayをWeb Interface環境に展開する場合は次のオプションタスクを実できます

bull Web Interfaceフェールオーバーの設定Web Interfaceを実するセカンダリサーバーにフェイルオーバーするようにCitrix Gatewayを構成します

bull Web Interfaceを使したスマートカードアクセスの構成Citrix Workspaceアプリとスマートカード認証を使してWeb Interfaceに直接ログオンするようにユーザーセッションを構成します


Web Interfaceフェールオーバーの設定

March 26 2020

公開アプリケーションウィザードを使してWeb Interfaceを実するセカンダリサーバーにフェイルオーバーするように Citrix Gatewayを構成できます

Web InterfaceフェイルオーバーによりプライマリWeb Interfaceに障害が発した場合でもユーザー接続をアクティブなままにできますフェールオーバーを設定する場合はシステム IPアドレスマッピング IPアドレスまたは仮想サーバの IPアドレスに加えて新しい IPアドレスを定義します新しい IPアドレスはシステムまたはマッピング IPアドレスと同じサブネット上にある必要があります

Citrix GatewayでWeb Interfaceフェイルオーバーを構成すると新しい IPアドレスに送信されるネットワークトラフィックはプライマリWeb Interfaceに中継されます公開アプリケーションウィザードで選択した仮想サーバーはネットワークアドレス変換 (NAT) IPアドレスとして機能します実際の IPアドレスはWeb InterfaceのIPアドレスですプライマリWeb Interfaceに障害が発するとネットワークトラフィックがセカンダリWebInterfaceに送信されます


Citrix Gateway 130

Web Interfaceフェールオーバーを構成するには


2 詳細ウィンドウの [はじめに]で[公開アプリケーションウィザード]をクリックします3 [次へ]をクリックし仮想サーバーを選択して[次へ]をクリックします4 [クライアント接続の構成]ページで[Web Interfaceフェールオーバーの構成]をクリックします5 [プライマリWeb Interface]の [Web Interfaceサーバー]にプライマリWeb Interfaceの IPアドレスをします

6 [Web Interfaceサーバーポート]にプライマリWeb Interfaceのポート番号をします7 [仮想サーバー IP]にフェールオーバーの新しい IPアドレスをします8 [仮想サーバーのポート]に仮想サーバーのポート番号をします9 [Web Interfaceのバックアップ]の [Web Interfaceサーバー]にWeb Interfaceを実しているサーバーの IPアドレスをするか覧からサーバーを選択します

10 [Web Interfaceサーバーポート]でWeb Interfaceのポート番号をし[OK]をクリックします11 [次へ]をクリックし指に従ってウィザードを完了します


Web Interfaceを使したスマートカードアクセスの構成

April 9 2020

スマートカード認証を使するようにWeb Interfaceを構成する場合ユーザーのログオン法に応じてCitrixGatewayを統合するために次の展開シナリオを構成できます

bull ユーザーが Citrix Workspaceアプリとスマートカード認証を使してWeb Interfaceに直接ログオンする場合Web Interfaceは DMZの Citrix Gatewayと並する必要がありますWeb Interfaceを実するサーバーもドメインメンバーである必要があります

このシナリオではCitrix GatewayとWeb Interfaceの両が SSL終了を実しますWeb Interfaceはユーザー認証公開アプリケーションの表公開アプリケーションの開始などセキュリティで保護されたHTTPトラフィックを終了しますCitrix Gatewayは着信 ICA接続の SSLを終了します

bull ユーザーが Citrix Gatewayプラグインを使してログオンするとCitrix Gatewayは初期認証を実しますCitrix Gatewayが VPNトンネルを確するとユーザーはスマートカードを使してWeb InterfaceにログオンできますこのシナリオではCitrix Gatewayの背後にWeb Interfaceを DMZまたはセキュリティで保護されたネットワークにインストールできます


Citrix Gateway 130

注Citrix Gatewayではクライアント証明書を使した認証にスマートカードを使することもできます

詳細については「スマートカード認証の構成」を参照してください


Web Interfaceでのアプリケーションおよび Virtual Desktopsへのアクセスの構成

April 9 2020

Citrix Gatewayを構成してReceiverではなく Citrix Gatewayプラグインを使して公開アプリケーションや仮想デスクトップへのアクセスをユーザーに許可できますアプリケーションおよびデスクトップへのアクセスを構成するにはCitrix Gateway上の構成をCitrix Gatewayへの接続にのみ Receiverを使する構成からWebInterfaceへのシングルサインオンで Citrix Gatewayプラグインを使して接続を有効にする構成に変更しますたとえばすべてのユーザーが Citrix Gatewayプラグインを使して接続しWeb Interfaceをホームページとして使するように Citrix Gatewayを構成しますこのシナリオではWeb Interfaceへのシングルサインオンがサポートされています

アプリケーションやデスクトップへのアクセスに加えてユーザーデバイスにインストールされたアプリケーションを実してVPNトンネルを経由してネットワーク接続をうこともできます

設定を開始するには次の注意事項に従ってください

bull Web Interfaceサイトを作成しますbull アクセス制御の詳細設定を構成しますbull SmartAccess構成しますbull Citrix Gatewayでエンドポイント分析を構成しますbull Citrix Virtual Apps and Desktopsポリシーとフィルターを構成しますbull Citrix Gatewayプラグインを使してユーザーがログオンし公開アプリケーションおよび仮想デスクトップにアクセスするように Citrix Gatewayを構成します

詳細についてはCitrix eDocsの以下のトピックを参照してください

bull「Web Interfaceのサイトのセットアップ」を参照してくださいbull Citrix Virtual Apps and Desktopsでの SmartAccessのしくみbull エンドポイントポリシーの設定bull Citrix Virtual Appsポリシーとフィルターの構成bull Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5bull Web Interfaceと通信するための Citrix Gatewayの構成


Citrix Gateway 130

Citrix Virtual Apps and Desktops へのユーザーのログオンを構成するときはまずセッションプロファイルを作成しWindowsの Citrix Gatewayプラグインを選択します次にCitrix Virtual AppsCitrix VirtualDesktopsおよびWeb Interfaceにアクセスするためのイントラネットアプリケーションのプロファイルを作成します

アプリケーションおよびデスクトップにアクセスするための Citrix Gatewayプラグインのグローバル設定を構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［公開アプリケーション］タブで［ICAプロキシ］の横にある［OFF］を選択します4 [Web Interfaceアドレス]にWeb Interfaceサイトの URLをしますこれがユーザーのホームページになります

5 [シングルサインオンドメイン]にActive Directoryドメイン名をします6 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [WindowsMac OS X]を選択し


イントラネットアプリケーションを構成するには



3 [名前]にアプリケーションの名前をします

4 [透明]をクリックします

5 [プロトコル]で[TCP][UDP]または [任意]を選択します

6 [宛先の種類]で[IPアドレス]と [ネットマスク]を選択しますたとえば17216100xサブネット上のすべてのサーバーを表すには172161000とサブネットマスク 2552552550としますWeb InterfaceCitrix Virtual Appsおよびユーザーが接続する他のすべてのサーバーの IPアドレスはイントラネットアプリケーションとして定義されたサブネットのいずれかにある必要があります

イントラネットアプリケーションを作成したらグローバルにバインドすることも仮想サーバーにバインドすることもできます

7 [IPアドレス]と [ネットマスク]に内部ネットワークを表す IPアドレスとサブネットマスクをし[作成]をクリックし[閉じる]をクリックします



Citrix Gateway 130

イントラネットアプリケーションをグローバルにバインドするには


2 詳細ペインの［イントラネットアプリケーション］で［Java Citrix Gatewayプラグインのセキュリティで保護されたネットワーク内の TCPアプリケーションへのマッピングを作成する］をクリックします

3 [VPNイントラネットアプリケーションの構成]ダイアログボックスで[追加]をクリックします4 [使可能]で1つまたは複数のイントラネットアプリケーションを選択し印をクリックしてイントラネットアプリケーションを [構成済み]に移動し[OK]をクリックします

イントラネットアプリケーションを仮想サーバーにバインドするには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［イントラネットアプリケーション］タブをクリックします

4 [使可能なアプリケーション名]でイントラネットアプリケーションを選択し[追加]をクリックし[OK]をクリックします

ユーザーが Citrix Gatewayプラグインを使してログオンするとVPNトンネルが確されReceiverまたはWeb Interfaceがホームページとして使されます


SmartAccess設定

March 26 2020

SmartAccessを Citrix Virtual Apps and Desktopsとともに使すると公開アプリケーションおよび仮想デスクトップをユーザーにインテリジェントに配信できます

SmartAccessではCitrix Gatewayセッションポリシーを使してサーバー上の公開アプリケーションおよびデスクトップへのアクセスを制御できます公開されたリソースへのアクセスには事前認証および認証後のチェックを条件として他の条件とともに使しますその他の条件にはプリンター帯域幅制限ユーザーデバイスドライブのマッピングクリップボードオーディオプリンターマッピングなどCitrix Virtual Apps and Desktopsポリシーで制御できるものが含まれますユーザーが Citrix Gatewayのチェックに合格したかどうかに基づいてCitrix Virtual Apps and Desktopsポリシーを適できます


Citrix Gateway 130

Citrix GatewayではWeb InterfaceICAプロキシアクセスクライアントレスアクセスおよびCitrix Gatewayアクセスで使できるオプションと同じオプションを使してCitrix Virtual Desktopsを配信できます

この機能はCitrix GatewayコンポーネントをWeb Interfaceおよび Citrix仮想アプリケーションおよびデスクトップと統合することによって実現されますこの統合によりWeb Interfaceへの度な認証とアクセス制御オプションが提供されます詳細についてはCitrix eDocsライブラリの［テクノロジ］ノードにあるWeb Interfaceのドキュメントを参照してください

サーバーファームへのリモート接続にはCitrix Gateway プラグインは必要ありませんユーザーは CitrixWorkspace アプリで接続できますユーザーはCitrix Gateway プラグインを使してログオンしCitrixGatewayのデフォルトのホームページであるアクセスインターフェイスを介して公開アプリケーションおよび仮想デスクトップを受信できます


Citrix Virtual Apps and Desktopsでの SmartAccessのしくみ

March 26 2020

SmartAccessを構成するにはWeb Interfaceで Citrix Gateway設定を構成しCitrix Gatewayでセッションポリシーを構成する必要があります公開アプリケーションウィザードを実するとSmartAccessに作成したセッションポリシーを選択できます

SmartAccessを構成するとこの機能は次のように動作します

1 ユーザーがWebブラウザで仮想サーバのWebアドレスをすると設定した事前認証ポリシーがユーザデバイスにダウンロードされます

2 Citrix Gatewayは事前認証とセッションポリシー名をフィルターとしてWeb Interfaceに送信しますポリシー条件が trueに設定されている場合ポリシーは常にフィルタ名として送信されますポリシー条件が満たされない場合フィルタ名は送信されませんこれによりエンドポイント分析の結果に基づいてCitrixVirtual Appsおよび Desktopsを実しているコンピューター上の公開アプリケーションおよびデスクトップのリストと有効なポリシーを区別できます

3 Web Interfaceは Citrix Virtual Apps and Desktopsサーバーに接続し公開されたリソースリストをユーザーに返しますフィルターが適されたリソースはフィルターの条件が満たされない限りユーザーのリストに表されません

Citrix Gatewayで SmartAccessエンドポイント分析を構成できますエンドポイント分析を構成するにはICAプロキシ設定を有効にするセッションポリシーを作成しクライアントのセキュリティ字列を構成します

ユーザーがログオンするとエンドポイント分析ポリシーによってCitrix Gatewayで構成したクライアントセキュリティ字列を使してユーザーデバイスのセキュリティチェックが実されます


Citrix Gateway 130

たとえばソフォスアンチウイルスの特定のバージョンを確認する場合などです式エディタではクライアントのセキュリティ字列は次のように表されます

1 clientapplicationav(sophos)version == 1002

セッションポリシーを構成したらユーザーグループまたは仮想サーバーにバインドしますユーザーがログオンするとSmartAccessポリシーチェックが開始されユーザーデバイスにバージョン 1002以降の SophosAntivirusがインストールされているかどうかが検証されます

SmartAccessエンドポイント分析チェックが成功するとクライアントレスセッションの場合はWeb Interfaceポータルが表されますそれ以外の場合はアクセスインターフェイスが表されます

SmartAccessのセッションポリシーを作成するとセッションプロファイルに設定が構成されずヌルプロファイルが作成されますこの場合Citrix GatewayはSmartAccessにグローバルに構成されたWeb InterfaceURLを使します


Citrix Virtual Appsポリシーとフィルターの構成

March 26 2020

Citrix Gatewayでセッションポリシーを作成したらエンドポイント分析の構成に従ってユーザーに適されるCitrix Virtual Appsを実しているコンピューターでポリシーとフィルターを構成します

Citrix XenApp 65のポリシーとフィルターを構成するには

1 Citrix Virtual Appsを実しているサーバーで［スタート］＞［管理ツール］＞［Citrix］＞［Citrix VirtualApps］の順にクリックしますプロンプトが表されたら検出を構成して実します

2 左側のペインで［Citrix ADCリソース］gt［Citrix Virtual Apps］gt［ファーム名］の順に展開しますファーム名はサーバーファームの名前です

3 [アプリケーション]をクリックします4 中央のウィンドウでアプリケーションを右クリックし[アプリケーションのプロパティ]をクリックします5 ナビゲーションウィンドウの [プロパティ]で[詳細設定] gt [アクセス制御]をクリックします6 右側のウィンドウで[次のフィルタのいずれかに致する任意の接続]をクリックし[追加]をクリックします

7「Access Gateway」ファームでCitrix Gateway仮想サーバーの名前をします8 [Access Gateway filter]にエンドポイントセッションポリシーの名前をし[OK]をクリックします9 [アプリケーションのプロパティ]ダイアログボックスで[他のすべての接続を許可する]をオフにし[OK]をクリックします


Citrix Gateway 130


SmartAccessのセッションポリシーを構成するには

March 26 2020


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]に[ValidEndpoint]などのポリシーの名前をします

4 [要求プロファイル]で[新規]をクリックし[名前]にプロファイルの名前 (Nullなど)をし[作成]をクリックします

5 [セッションポリシーの作成]ダイアログボックスでクライアントセキュリティ式を作成し[作成][閉じる]の順にクリックします

クライアントセキュリティ式は有効なエンドポイントと無効なエンドポイントを区別するために使されますエンドポイント分析の結果に基づいて公開アプリケーションまたはデスクトップにさまざまなレベルのアクセスを提供できます

セッションポリシーを作成したらグローバルまたは仮想サーバーにバインドします


Citrix Virtual Appsでのユーザーデバイスマッピングの構成

March 26 2020

Citrix Virtual Appsを実しているコンピューター上のポリシーに適される Citrix Gatewayフィルターを使できますフィルターによりユーザーはエンドポイント分析の結果に基づいてユーザーデバイスのドライブマッピングプリンターマッピングクリップボードマッピングなどの Citrix Virtual Apps機能にアクセスできます

Citrix Workspaceアプリはユーザーデバイス上のデバイスのマッピングをサポートしているためユーザーはユーザーセッション内で外部デバイスにアクセスできますユーザーデバイスマッピングにより次の機能が提供されます

bull ローカルドライブとポートへのアクセスbull ユーザーセッションとローカルクリップボード間のカットアンドペーストによるデータ転送


Citrix Gateway 130

bull ユーザーセッションからのオーディオ（システムサウンドとwavファイル）再

ログオン中ユーザーデバイスは使可能なユーザードライブと COMポートをサーバーに通知しますCitrixXenApp 65ではユーザードライブがサーバーにマップされユーザーデバイスのドライブ字が使されますマップされたクライアント側デバイスはそのセッションを実中のユーザーだけが使できますマッピングはユーザーがログオフしユーザーが次回ログオンしたときに再作成されるときに削除されます

XMLサービスを有効にしたあとユーザーデバイスマッピングのポリシーを設定する必要があります

SmartAccessフィルターに基づいてユーザーデバイスマッピングポリシーを適するにはサーバー上に次の 2つのポリシーを作成します

bull ユーザーデバイスマッピングを無効にしすべての Citrix Gatewayユーザーに適される制限付き ICAポリシー

bull ユーザーデバイスマッピングを有効にしエンドポイント分析セッションポリシーを満たすユーザーのみに適される完全な ICAポリシー注フィルタリングされた制限 ICAポリシーは制限 ICAポリシーよりもい優先度を与える必要がありますこれによりユーザーに適されるときに制限ポリシーはユーザーデバイスマッピングを無効にするポリシーを上書きします

Citrix XenApp 65で制限ポリシーと制限ポリシーを構成するにはCitrix AppCenterを使します


Citrix XenApp 65で制限ポリシーを構成するには

March 26 2020

1［スタート］＞［管理ツール］＞［管理コンソール］＞［Citrix AppCenter］の順にクリックします2 左側のペインで［Citrix Virtual Apps］を展開し［ポリシー］をクリックします3 [ポリシー]ペインで[ユーザー]タブをクリックし[新規]をクリックします4 [名前]にポリシーの名前をし[次へ]をクリックします5 [カテゴリ]の [すべての設定]をクリックします6 [設定]の [クライアントドライブの動接続]で[追加]をクリックします7 [設定の追加]ダイアログボックスで[無効][OK][次へ]の順にクリックします8 [カテゴリ]の [すべてのフィルタ]をクリックします9 [フィルタ]の [アクセス制御]で[追加]をクリックします

10 [新しいフィルタ]ダイアログボックスで[追加]をクリックします11 [モード]で[拒否]をクリックします12 [接続の種類]で[Access Gatewayあり]を選択します13 [AGファーム]に仮想サーバー名をします


Citrix Gateway 130

14［アクセス条件］でCitrix Gatewayで構成されているセッションポリシー名をまたは選択し［OK］を2回クリックし［次へ］をクリックし［作成］をクリックしてウィザードを完了します



March 26 2020

1［スタート］＞［管理ツール］＞［管理コンソール］＞［Citrix AppCenter］の順にクリックします2 左側のペインで［Citrix Virtual Apps］を展開し［ポリシー］をクリックします3 [ポリシー]ペインで[ユーザー]タブをクリックし[新規]をクリックします4 [名前]にポリシーの名前をし[次へ]をクリックします5 [カテゴリ]の [すべての設定]をクリックします6 [設定]の [クライアントドライブの動接続]で[追加]をクリックします7 [有効][OK][次へ]の順にクリックします8 [カテゴリ]の [すべてのフィルタ]をクリックします9 [フィルタ]の [アクセス制御]で[追加]をクリックします

10 [新しいフィルタ]ダイアログボックスで[追加]をクリックします11 [モード]で[許可]をクリックします12 [接続の種類]で[Access Gatewayあり]を選択します13 [AGファーム]に仮想サーバー名をします14［アクセス条件］でCitrix Gatewayで構成されているセッションポリシー名をまたは選択し［OK］を

2回クリックし［次へ］をクリックし［作成］をクリックしてウィザードを完了します


隔離アクセス法としての Citrix Virtual Apps有効化

March 26 2020

Citrix Gatewayでエンドポイント分析を構成している場合エンドポイントスキャンに合格したユーザーはCitrixGatewayで設定したすべてのリソースにアクセスできますエンドポイントスキャンに失敗したユーザーを検疫グループにれることができますこれらのユーザーはCitrix Virtual Appsからのみ公開アプリケーションにアクセスできますエンドポイント分析スキャンの成功または失敗によってユーザーが利できるアクセス法が決まります


Citrix Gateway 130

たとえばユーザーがログオンしたときにメモ帳がユーザーデバイスで実されているかどうかを確認するエンドポイント分析スキャンを作成しますメモ帳が実されている場合ユーザーは Citrix Gatewayプラグインを使してログオンできますメモ帳が実されていない場合ユーザーは公開アプリケーションの覧のみを受け取ります

制限されたユーザーアクセスを構成するにはCitrix Gatewayで隔離グループを作成しますセッションプロファイル内で隔離グループを作成しそのプロファイルをセッションポリシーに追加します


隔離グループのセッションポリシーおよびエンドポイント分析スキャンの作成

March 26 2020

Citrix Virtual Apps検疫アクセス法として有効にするにはCitrix Gatewayで隔離グループとして使するグループを作成します次にグループを選択するセッションポリシーを作成します

セッションポリシーを作成したらそのポリシーを隔離グループにバインドしますポリシーを設定してグループにバインドしたら結果をテストしますたとえばユーザーが正常にログオンするにはメモ帳がユーザーデバイスで実されている必要がありますメモ帳が実されている場合ユーザーは Citrix Gatewayプラグインを使してログオンできますメモ帳が実されていない場合ユーザーは Citrix Workspaceアプリでログオンできます

エンドポイント分析ポリシーの設定の詳細についてはエンドポイントポリシーの設定を参照してください

エンドポイント分析スキャンを作成して検疫グループを追加するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [セッションプロファイルの作成]ダイアログボックスの [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [セキュリティの設定-詳細]ダイアログボックスの [Client Security]で[グローバルに上書き]をクリックし[新規]をクリックします

8 [式を作成]ダイアログボックスで[任意の式に致]の横にある [追加]をクリックします9「式の種類」で「クライアントセキュリティ」を選択します

10「コンポーネント」で「プロセス」を選択します11 [名前]ボックスに「notepadexe」とし[OK]をクリックし[作成]をクリックします12 [セキュリティの設定-詳細]ダイアログボックスの [隔離グループ]で隔離グループを選択し[作成]をクリ

ックし[OK]をクリックして [作成]をクリックします


Citrix Gateway 130

13 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックして[作成]をクリックして[閉じる]をクリックします


SmartAccessの Citrix Virtual Desktopsの構成

March 26 2020

Citrix Gatewayを使するとCitrix Virtual Desktopsがリモートユーザーにセキュアなデスクトップを配信できますCitrix Virtual DesktopsではCitrix Gatewayの SmartAccess機能を使してデスクトップをインテリジェントに配信できますCitrix Virtual Desktopsのデリバリーサービスコンソールを使してデスクトップグループを作成する場合はアクセス制御のポリシーとフィルタを構成します

公開デスクトップを配信するように Citrix Gatewayを構成するにはWeb InterfaceICAプロキシアクセスクライアントレスアクセスおよび Citrix Gatewayアクセスで使できるものと同じオプションを使します

セッションポリシーを作成し［公開アプリケーション］タブで設定を構成する場合はCitrix Virtual DesktopsWeb InterfaceサイトのWebアドレスを使しますポリシーを作成したら仮想サーバにバインドします次に設定を構成しないヌルセッションプロファイルを作成しますWeb Interfaceの構成はグローバル設定から継承されます


Citrix Virtual Desktopsを使した SmartAccessのセッションポリシーを構成するには

March 26 2020

Citrix Virtual Desktopsにアクセスするように Citrix Gateway上の SmartAccessを構成するには仮想サーバーにバインドされたセッションポリシーを作成します


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]に[Citrix Virtual Desktopsポリシー]などのポリシーの名前をします

4「要求プロファイル」で「新規」をクリックします


Citrix Gateway 130

5［セッションプロファイルの作成］ダイアログボックスの［名前］に［Citrix Virtual Desktopsプロファイル］などのプロファイルの名前をします

6 [公開アプリケーション]タブの [ICAプロキシ]の横にある [グローバル上書き]をクリックし[ON]を選択します

7 [Web Interfaceアドレス]で[グローバルに上書き]をクリックしCitrix Virtual Desktops Web Interfaceサイトの URLをします

8［Single Sign-On Domain］で［グローバルに上書き］をクリックしドメイン名をして［作成］をクリックします

9 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True Value]を選択し[式の追加]をクリックして[作成]をクリックして[閉じる]をクリックします

また仮想サーバーにバインドされたヌルセッションポリシーを作成する必要がありますセッションプロファイルには設定が含まれていないためヌルプロファイルになりますセッションポリシーでTrue Value式を追加しポリシーを保存します

両のセッションポリシーを作成したら両のポリシーを仮想サーバにバインドします


Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5

March 26 2020

Citrix Virtual Desktops 5の設定はDesktop Studioまたはグループポリシーエディターを使して構成できますCitrix Virtual Desktopsで Citrix Gateway設定を構成する場合はCitrix Gateway仮想サーバー名とセッションポリシー名を使します次に定義されたフィルタを満たす接続を許可するようにアクセス制御を設定しますSmartAccessポリシーを使することもできます

1 Citrix Virtual Desktopsサーバーで［スタート］＞［すべてのプログラム］＞［Citrix］＞［Desktop Studio］の順にクリックします

2 左側のペインで[HDX Policy]をクリックして展開し中央のペインの [User]タブをクリックします

3 [ユーザー]で[新規作成]をクリックします

4 [新しいポリシー]ダイアログボックスの [ポリシーの識別]で[名前]に名前をします

5 [次へ]を 2回クリックします

6 [新しいポリシー]ダイアログボックスの [フィルター]タブで[フィルター]の下の [アクセス制御]をクリックし[追加]をクリックします

7 [新しいフィルタ]ダイアログボックスで[追加]をクリックします


Citrix Gateway 130

8 [新しいフィルタ要素]ダイアログボックスの [接続の種類]で[Access Gateway]を選択します

Citrix Gatewayポリシーを考慮せずにCitrix Gateway経由でわれた接続にポリシーを適するにはAGファーム名とアクセス条件をデフォルトのままにします

9 既存の Citrix Gatewayポリシーに基づいてCitrix Gateway経由の接続にポリシーを適する場合は次の操作をいます

a) [AGファーム名]に仮想サーバー名をしますb) [アクセス条件]にエンドポイント分析ポリシーまたはセッションポリシーの名前をします

重要 Citrix Virtual DesktopsではCitrix Gateway仮想サーバーエンドポイント分析ポリシーセッションポリシー名は検証されません情報が正しいことを確認します

10 [OK]を 2回クリックし[次へ][作成]の順にクリックします


デスクトップ Delivery Controllerを STAとして追加するには

March 26 2020

Citrix Virtual Desktopsとの ICA接続を確するにはデスクトップ Delivery Controller IPアドレスを仮想サーバーに Secure Ticket Authority（STA）として追加します


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [公開アプリケーション]タブの [Secure Ticket Authority]で[追加]をクリックします4 [STAサーバの構成]ダイアログボックスでSTAサーバの URLをし[作成]をクリックします5 順 4を繰り返して STAサーバーを追加しCitrix Gateway仮想サーバーの構成］ダイアログボックスで［OK］をクリックします


スマートコントロールの設定

March 26 2020


Citrix Gateway 130

Smart Controlを使すると管理者は詳細なポリシーを定義してCitrix Gateway上の Citrix Virtual Appsand Desktopsのユーザー環境属性を構成および適できますSmart Controlを使すると管理者はこれらのサーバータイプの各インスタンスではなく1つの場所からこれらのポリシーを管理できます

スマートコントロールはCitrix Gatewayの ICAポリシーによって実装されます各 ICAポリシーはユーザーグループ仮想サーバーおよびグローバルに適できる式とアクセスプロファイルの組み合わせですICAポリシーはセッション確時にユーザーが認証した後に評価されます

次の表にSmart Controlで適できるユーザー環境属性をします

| | || mdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdash | mdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdash ||クライアントドライブを接続します |ユーザーがログオンするときのクライアントドライブへの既定の接続を指定します|接続クライアント LPTポート |ユーザーがログオンしたときにクライアントからの LPTポートの動接続を指定しますLPTポートはローカルプリンタポートです||クライアントオーディオリダイレクト |クライアントコンピュータにインストールされているサウンドデバイスを介してオーディオを送信するためにサーバーでホストされているアプリケーションを指定します||クライアントクリップボードリダイレクト |クライアントデバイス上のクリップボードアクセスを指定して構成しクリップボードをサーバーにマッピングします||クライアント構成リダイレクト |クライアントへの COMポートのリダイレクトを指定しますCOMポートは COMポートですこれらはシリアルポートです||クライアントドライブリダイレクト |クライアントへのドライブリダイレクトとクライアントからのドライブリダイレクトを指定します||マルチストリーム |指定したユーザのマルチストリーム機能を指定します||クライアント USBデバイスリダイレクト |クライアントへの USBデバイスのリダイレクションを指定します（ワークステーションホストのみ）||ローカルリモートデータ |Citrix Workspaceアプリの HTML5ファイルのアップロードダウンロード機能を指定します||クライアントプリンタのリダイレクト |ユーザーがセッションにログオンするときにサーバーにマップされるクライアントプリンターを指定します||ポリシー |アクション |アクセスプロファイル ||追加 |編集 |削除 ||バインドの表 |ポリシーマネージャ |アクション |

ポリシー

ICAポリシーはアクションアクセスプロファイル式およびオプションでログアクションを指定します[ポリシー]タブでは次のコマンドを使できます

bull 追加


Citrix Gateway 130

bull 編集bull 削除bull バインディングを表bull ポリシーマネージャbull 操作（アクション）

追加

1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［ICA］をクリックします


3 次の画が開きます[名前]ダイアログボックスでポリシーの名前をしますこれは必須フィールドです必須フィールドはすべてアスタリスクでされます

4 [アクション]の横で次のいずれかの操作をいます

bull [ gt ] アイコンをクリックして既存のアクションを選択します詳細については(common-processes)の [操作を選択]を参照してください

bull [ + ] アイコンをクリックして新しいアクションを作成します詳細については(common-processes)の [新しいアクションを作成する]を参照してください

bull 鉛筆アイコンは無効になります

5 式を作成します

6 ログアクションを作成します詳細についてはログアクションの作成を参照してください

7 [コメント]ボックスにメッセージをしますコメントはメッセージログに書き込まれますこの情報はしなくても構いません


編集


2 リストから ICAポリシーを選択します

3 詳細ウィンドウの [ポリシー]タブで[編集]をクリックします

4 ポリシー名を確認します

5 アクションを修正するには次のいずれかの操作をいます

bull 既存のアクションを修正するには[ gt ]アイコンをクリックします詳細については(common-processes)の [操作を選択]を参照してください


Citrix Gateway 130

bull [ + ]をクリックして新しいアクションを作成します詳細については(common-processes)の[新しいアクションを作成する]を参照してください

bull 鉛筆アイコンをクリックして[アクセスプロファイル]を修正します

6 必要に応じて式を修正します詳細については(common-processes)の [式]を参照してください

7 ログアクションを修正するには次のいずれかの操作をいます

bull [+]をクリックして新しいログアクションを作成します

bull 鉛筆アイコンをクリックして監査メッセージを設定します

8 必要に応じてコメントを修正します

9 [ OK]をクリックします

削除


2 リストから的の ICAポリシーを選択します

3 詳細ウィンドウの [ポリシー]タブで[削除]をクリックします

4 [ Yes]をクリックしてポリシーを削除することを確認します

バインドを表



3 詳細ウィンドウの [ポリシー]タブで[バインドの表]をクリックします

ポリシーマネージャ



3 詳細ペインの [ポリシー]タブで[ポリシーマネージャ]をクリックします

4 [Bind Point]ダイアログボックスでドロップダウンメニューからポリシーを選択します次の選択肢があります


Citrix Gateway 130

bull グローバルをオーバーライドbull VPN仮想サーバーbull キャッシュのリダイレクト仮想サーバーbull デフォルトグローバル

5 [Connection Type]ダイアログボックスでドロップダウンメニューからバインディングポリシーを選択します

6 VPN仮想サーバーまたはキャッシュリダイレクト仮想サーバーのいずれかを選択した場合はドロップダウンボックスを使してサーバーに接続します


バインドの追加

1 [Continue]を選択するとこの画が表されます

2 バインディングをアタッチするポリシーを選択します

3「バインドを追加」を選択します

ポリシーバインディング

1 [完了]を選択するとこの画が表されます

bull [ gt]アイコンをクリックして既存のポリシーを選択します詳細については既存のポリシーの選択を参照してください

bull [ + ]をクリックして新しいポリシーを作成します詳細については新しいポリシーの作成を参照してください

ポリシーのバインド解除

1 バインド解除するポリシーを選択し[ Unbind ]ボタンをクリックします

2 [完了]をクリックします

3 ポップアップ画で「はい」ボタンをクリックして選択したエンティティのバインドを解除することを確認します

バインドノポリシー

1 NOPOLICYを必要とするポリシーを選択し[ Bind NOPOLICY ]ボタンをクリックします



Citrix Gateway 130

編集

ICAポリシーマネージャから編集できます

1 編集するポリシーを選択し[ Edit]を選択します

2 次の編集をうオプションがあります[バインディングの編集][ポリシーの編集][アクションの編集]

詳しくは [バインドの編集][ポリシーの編集][アクションの編集]を参照してください

バインドの編集

1 ポリシーが選択されている状態で[バインディングの編集]をクリックします

2 的のポリシーを編集していることを確認しますこのポリシー名は編集できません

3 必要に応じて [優先度]を設定します

4 必要に応じて [式に移動]を設定します


ポリシーの編集

1 ポリシーを選択した状態で[ポリシーの編集]をクリックします

2 ポリシーの [Name]を確認し的のポリシーを編集していることを確認しますこのフィールドは編集できません

3 アクションポリシーを変更するには次のいずれかの操作をいます

bull「gt」アイコンをクリックして既存のアクションを選択します詳細については(common-processes)の [操作を選択]を参照してください

bull アクションを作成するには[+ ]アイコンをクリックします詳細については(common-processes)の [新しいアクションを作成する]を参照してください

bull 鉛筆アイコンをクリックしてアクセスプロファイルを修正します詳細については(common-processes)の [既存のアクセスプロファイルの選択]を参照してください


5 ドロップダウンメニューから的のメッセージタイプを選択しますログアクションを作成するには次のいずれかの操作をいます

bull アクションを作成するには[ + ]アイコンをクリックします詳しくはログアクションの作成を参照してください

bull 鉛筆アイコンをクリックして「監査メッセージの設定」アクションを修正します詳しくは監査メッセージアクションの構成を参照してください


Citrix Gateway 130

6 ICAポリシーに関するコメントをします

7 編集が完了したら[ OK]をクリックします

アクションの編集

1 ポリシーを選択した状態で[ Edit Action]をクリックします

2「アクション名」を確認し的のアクションを編集していることを確認しますこのフィールドは編集できません

3 [アクセスプロファイル]の横で次のいずれかの操作をいます

bull [ gt]アイコンをクリックして別のアクセスプロファイルを選択します詳細についてはアクションの構成を参照してください

bull [ +]アイコンをクリックして新しいチャネルプロファイルを選択しますアクセスプロファイルの作成



操作（アクション）

[ポリシー] gt [アクション]コマンドを使してアクションの名前を変更します

1 リストから的の ICAアクションを選択します

2 [ICAポリシー]タブで[操作]をクリックしますドロップダウンメニューから [名前の変更]を選択します

3 アクションの名前を変更します



アクションはポリシーをアクセスプロファイルと接続します[ポリシー]タブでは次のコマンドを使できます

bull 追加bull 編集bull 削除bull 操作（アクション）


Citrix Gateway 130

追加


2 詳細ウィンドウの [操作]タブで[追加]をクリックします

bull [ gt] アイコンをクリックして既存のアクセスプロファイルを選択します詳細については(common-processes)の [既存のアクセスプロファイルの選択]を参照してください

bull [ + ]アイコンをクリックして新しいアクセスプロファイルを作成します詳細についてはアクセスプロファイルを作成しますを参照してください

bull この画では鉛筆アイコンは無効になっています

3［Create］をクリックします

編集


2 詳細ウィンドウの [操作]タブで[編集]をクリックします

アクションの構成



bull [ gt ] をクリックして既存のアクセスプロファイルを選択します詳細については(common-processes)の [既存のアクセスプロファイルの選択]を参照してください

bull [ + ]をクリックして新しいアクセスプロファイルを作成します詳細についてはアクセスプロファイルの作成を参照してください

bull 鉛筆アイコンをクリックしてアクセスプロファイルの設定をクリックします


削除

1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gateway］gt［操作］の順に展開し［ICA］をクリックします


3 詳細ウィンドウの [操作]タブで[削除]をクリックします

4 [はい]をクリックしてポリシーを削除するアクションを確認します


Citrix Gateway 130


「ICAアクション」gt「アクション」コマンドを使してアクションの名前を変更します



3 詳細ウィンドウの [操作]タブで[操作]をクリックします

4 ドロップダウンメニューから「アクション」gt「名前変更」を選択します



アクセスプロファイル

ICAプロファイルはユーザー接続の設定を定義します

アクセスプロファイルではユーザーデバイスがポリシー式の条件を満たしている場合にユーザーの Citrix VirtualApps and Desktops環境 ICAに適されるアクションを指定します構成ユーティリティを使してICAポリシーとは別に ICAプロファイルを作成しそのプロファイルを複数のポリシーに使できますポリシーで使できるプロファイルは 1つだけです

アクセスプロファイルはICAポリシーとは独して作成できますポリシーを作成するときにポリシーにアタッチするアクセスプロファイルを選択できますアクセスプロファイルはユーザーが利できるリソースを指定します[ポリシー]タブでは次のコマンドを使できます

bull 追加bull 編集bull 削除

設定ユーティリティを使したアクセスプロファイルの作成


2 詳細ウィンドウで[アクセスプロファイル]タブをクリックし[追加]をクリックします

3 プロファイルの設定を構成し[作成][閉じる]の順にクリックしますプロファイルを作成したらICAポリシーに含めることができます


Citrix Gateway 130

設定ユーティリティを使したポリシーへのアクセスプロファイルの追加

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［ICA］をクリックします

2 [ポリシー]タブで次のいずれかの操作をいます

bull [追加]をクリックして新しい ICAポリシーを作成します

bull ポリシーを選択し[Open]をクリックします

3「アクション」メニューでリストからアクセスプロファイルを選択します

4 ICAポリシーの構成を完了し次のいずれかの操作をいます

a [Create]をクリックし[Close]をクリックしてポリシーを作成します

b [OK]をクリックし[閉じる]をクリックしてポリシーを変更します

追加


2 詳細ペインの [アクセスプロファイル]タブで[追加]をクリックします

3 [名前]にアクセスプロファイルの名前をしますこれは必須フィールドです

4 表されるプルダウンメニューから「デフォルト」または「無効」を選択してアクセスプロファイルを作成します


編集

1 編集するアクセスプロファイルを選択します

2 詳細ペインの [アクセスプロファイル]タブで[編集]をクリックします

アクセスプロファイルの設定

1 名前が改訂する名前であることを確認します

2 プルダウンメニューから「デフォルト」または「無効」を選択して必要に応じて構成します



Citrix Gateway 130

削除




4 [ Yes]をクリックして削除するアクセスプロファイルを確認します

共通プロセス

新しいアクションを作成する

1 アクションの名前をします

2 アクセスプロファイルを指定するには次のいずれかを選択します


bull [ + ]をクリックして新しいアクセスプロファイルを作成します詳しくはアクセスプロファイルの作成を参照してください



操作を選択

1 アクションの左側にあるラジオボタンをクリックしてアクションを選択します関連付けられたアクセスプロファイルは許可されるユーザー機能を指定します

2 [選択]ボタンをクリックします

アクセスプロファイルの作成

1 アクセスプロファイルに名前を付けます

2 このメニューからアクセスプロファイルを設定することもできます



Citrix Gateway 130

既存のアクセスプロファイルの選択

1 アクセスプロファイルをクリックして選択します

2［編集］をクリックします

3 アクセスプロファイルを設定します詳しくはアクセスプロファイルの設定を参照してください

式

1 既存の式を作成または修正するには「消去」を選択します

これらは典型的な ICA式ですHTTP式の場合は「」を付けて名前をし（）を削除します

ICASERVERPORT この式は指定されたポートがユーザーが接続しようとしている Citrix Virtual Appsand Desktopsのポート番号と致しているかどうかをチェックします

ICASERVERIP この式は指定された IPがユーザーが接続しようとしている Citrix Virtual Appsand Desktops上の IPアドレスと致しているかどうかをチェックします

HTTPREQUSERIS_MEMBER_OF(ldquordquo)NOT この式は指定されたグループ名のメンバーではないユーザーが現在の接続にアクセスしているかどうかをチェックします

HTTPREQUSERIS_MEMBER_OF(ldquogroupnamerdquo) この式は現在の接続にアクセスするユーザーが指定したグループのメンバーであるかどうかをチェックします

HTTPREQUSERNAMECONTAINS(ldquordquo)NOT この式は現在の接続にアクセスしているユーザーが指定したグループのメンバーでないかどうかをチェックします

HTTPREQUSERNAMECONTAINS (「ユーザー名の」)ユーザー名のリソースを指定します

この式は現在の接続が指定された名前でアクセスしているかどうかをチェックします

CLIENTIPDSTEQ(enter ip address here)NOT この式は現在のトラフィックの宛先 IPが指定された IPアドレスと等しくないかどうかをチェックします

CLIENTIPDSTEQ(enter ip address here) この式は現在のトラフィックの宛先 IPが指定された IPアドレスと等しいかどうかをチェックします

CLIENTTCPDSTPORTEQ (enter portnumber)NOT

この式は宛先ポートが指定されたポート番号と等しくないかどうかをチェックします


Citrix Gateway 130

CLIENTTCPDSTPORTEQ (enter port number) この式は宛先ポートが指定されたポート番号と等しいかどうかをチェックします

2 同時に[コントロール]と [スペース]バーを選択するとオプションが表されます

3 期間をします選択をいスペースバーを押します4 上の表の式の各ピリオドにピリオドをします選択をいスペースバーを押します5［OK］をクリックします

グループ識別

グループ名変数を持つ式は事前認証関数またはセッション関数によって定義されます

事前認証

1 設定ペインで [事前認証]を選択します

1 事前認証ポリシーから名前を選択します

2 [事前認証ポリシー]タブで [編集]を選択します

3「アクションを要求」ダイアログボックスの横にある鉛筆アイコンまたは「+」を選択します

4 [ltgroupnamegtデフォルト EPAグループ]ダイアログボックスで (「」)を定義します

セッション

1 設定ペインから [Session]を選択します

ログアクションの作成

1 [ポリシーの設定]画で[ログアクション]ダイアログボックスの横にある [ + ]アイコンを選択します

監査メッセージ作成アクション

2 「監査メッセージアクションの作成」画が表されます監査メッセージに名前を付けます監査メッセージには数字字またはアンダースコア字のみを使できます

3 プルダウンメニューから監査ログレベルを指定します


Citrix Gateway 130

緊急サーバー上の即時の危機をすイベント

アラートアクションが必要なイベント

重差し迫ったサーバーの危機をすイベント

エラー何らかのエラーをすイベント

警告近い将来に動が必要なイベント

ご注意管理者が知っておくべきイベント

情報低レベル以外のすべてのイベント

デバッグすべてのイベント極端な詳細

4 式をします式はログの形式と内容を定義します

5 チェックボックス

bull 新しい nsログにメッセージを送信するには[newnslogにログイン]をオンにしますbull 安全チェックをバイパスするには[安全チェックをバイパス]をオンにしますこれにより安全でない式が許可されます


ログアクションの改訂

1 [ポリシーの構成]画で[ログアクション]ダイアログボックスの横にあるアイコンをクリックします

監査メッセージアクションの構成

編集可能なフィールドは次のとおりです



3 チェックボックスは次のとおりです

bull 新しい nsログにメッセージを送信するには[newnslogにログイン]をオンにします

bull 安全チェックをバイパスするには[安全チェックをバイパス]をオンにしますこれにより安全でない式が許可されます



Citrix Gateway 130

既存のポリシーの選択

1 [ gt ]アイコンをクリックして既存のポリシーを選択します

2 的のポリシーのオプションボタンを選択します

新しいポリシーの作成

1 [名前]にポリシーの名前をしますこれは必須フィールドです

2 [ + ]をクリックして新しいポリシーを作成します

3 アクションを作成します詳細については「新しいアクションを作成する」を参照してください


5 このメニューからアクセスプロファイルを設定します



事前認証および認証後のエンドポイント分析の設定

ここでは認証後および認証前エンドポイント分析（EPA）の設定法について説明します

Smartcontrolを使して認証後 EPAを設定するにはVPNセッションアクションから Smartgroupパラメータを使しますEPA式は VPNセッションポリシーで設定されます

smartgroupパラメータのグループ名を指定できますこのグループ名は任意の字列ですgroupnameはアクティブディレクトリの既存のグループである必要はありません

ICAポリシーをHTTPREQIS_MEMBER_OF（「グループ名」）という式で構成しますSmartgroupに対して以前に指定したグループ名を使します

Smartcontrolで事前認証 EPAを設定するには事前認証プロファイルの Default EPAグループパラメータを使しますEPA式は事前認証ポリシーで設定されます

Default EPA グループパラメータにはグループ名を指定できますこのグループ名は任意の字列ですgroupnameはアクティブディレクトリの既存のグループである必要はありません

ICAポリシーをHTTPREQIS_MEMBER_OF（「グループ名」）という式で構成しデフォルト EPAグループに対して以前に指定したグループ名を使します

認証後の設定

以下の順に従って認証後の構成にスマートグループを設定します


Citrix Gateway 130

1［Citrix NetScalergtポリシー］gt［セッション］に移動します

2 [セッションプロファイル] gt [追加]に移動します

Citrix Gatewayセッションプロファイルの作成

1［セキュリティ］タブを選択します

2 Citrix Gatewayプロファイルの名前をします（アクション）

3 プルダウンメニューの右側にあるボックスを選択し希望するデフォルトの承認アクションを選択します

ユーザーが内部ネットワークにログオンするときにアクセスできるネットワークリソースを指定します認可のデフォルト設定ではすべてのネットワークリソースへのアクセスを拒否しますデフォルトのグローバル設定を使し承認ポリシーを作成してユーザーがアクセスできるネットワークリソースを定義することをお勧めしますデフォルトの認可ポリシーを DENYに設定した場合はネットワークリソースへのアクセスを明的に許可する必要がありますこれによりセキュリティが向上します

4 プルダウンメニューの右側にあるボックスを選択し必要な Secure Browseを選択します

Citrix Workspaceアプリを使してユーザーが Citrix Gateway経由で iOSおよび Androidモバイルデバイスからネットワークリソースに接続できるようにしますセキュアなネットワーク内のリソースにアクセスするためにユーザは完全な VPNトンネルを確する必要はありません

5 プルダウンメニューの右側にあるボックスを選択しSmartgroup名をします

これはこのセッションアクションに関連付けられている sessionpolicy が成功したときにユーザーが配置されるグループですvpn セッションポリシーはポスト認証 EPA チェックをいチェックが成功した場合ユーザは Smartgroup で指定されたグループに配置されます次にis_member_of(httprequseris_member_of)式をポリシーとともに使してこのスマートグループに属するユーザーに EPAが渡されたかどうかを確認できます


7 Citrix NetScaler gtPoliciesgtSessionの順に選択します

8 [セッションポリシー] gt [追加]に移動します

9 このフィールドに「名前」をします

これはユーザーが Citrix Gatewayにログオンした後に適される新しいセッションポリシーの名前です

10 ドロップダウンメニューを使して「プロファイル」アクションを選択します

これはルール基準が満たされた場合に新しいセッションポリシーによって適されるアクションです

的のプロファイルを作成する必要がある場合は[+] を選択します詳細については「CitrixGatewayセッションプロファイルの作成」を参照してください


Citrix Gateway 130

11 このフィールドに「式」とします

このフィールドはポリシーに致するトラフィックを指定する名前付き式を定義します式はデフォルト構またはクラシック構のいずれかで記述できます式のリテラル字列の最は 255字ですい字列はそれぞれ 255字までのさな字列に分割できさい字列は +演算で連結されますたとえば500字の字列を作成できますrdquordquorsquo+rdquordquorsquo

以下の要件はCitrix ADC CLIにのみ適されます

式に 1つ以上のスペースが含まれる場合は式全体を重引符で囲みます式体に重引符が含まれている場合は字を使して引符をエスケープしますまた重引符を使してルールを囲むこともできますでは重引符をエスケープする必要はありません


13 セッションポリシーに移動します

14 セッションポリシーの名前を選択します

15「アクション」ドロップダウンメニューから「グローバルバインディング」を選択します


17 既存のポリシーを選択するにはgtを選択します

注新しいポリシーを作成するには[ +]を選択します詳細については「Citrix Gatewayセッションプロファイルの作成」を参照してください

18 リストから名前を選択しSelect (選択)ボタンを押します

19 [優先度]をし[バインド]をクリックします


21 チェックによって選択内容が [グローバルバインド]であることがされます

事前認証の設定

事前認証構成を設定するには次の順に従います

1［Citrix NetScalergtポリシー］gt［事前認証］の順に選択します

2 [事前認証プロファイル]タブを選択し[追加]を選択します

3 名前を

これは事前認証アクションの名前です名前は字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみで構成する必要があります事前認証アクションが作成された後は変更できません


Citrix Gateway 130

注次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます

4 ドロップダウンメニューから「アクションのリクエスト」を選択しますこれは接続がポリシーと致したときにポリシーが呼び出すアクションです

注事前認証プロファイルを作成または作成する場合は[+]を選択します詳細については事前認証プロファイルの作成を参照してください

5 式を

これはCitrix ADC名前付きルールの名前またはポリシーに致する接続を定義するデフォルトの構式です


7 [事前認証ポリシー]タブに移動し的のポリシーを選択します


9「バインディングの追加」を選択します


[ + ]を選択して新しいポリシーを作成します詳細については「Citrix Gatewayセッションプロファイルの作成」を参照してください

11 [ポリシー]を選択します



14 このチェックでは事前認証ポリシーがグローバルにバインドされていることがされます

事前認証プロファイルの作成

1「名前」をします


以下の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます

2 ドロップダウンメニューから「アクション」をします

このオプションはエンドポイント分析 (EPA)の結果後にログオンを許可または拒否します

3 キャンセルするプロセス

このオプションはエンドポイント分析 (EPA)ツールによって終了される連のプロセスを指定します


Citrix Gateway 130

4 削除するファイル

このオプションはエンドポイント解析 (EPA)ツールによって削除するファイルのパスと名前を指定する字列を指定します

5 デフォルト EPAグループ

これはEPAチェックが成功したときに選択されるデフォルトのグループです



Web Interfaceへのシングルサインオンの設定

April 9 2020

Webベース認証を使する内部ネットワーク内のサーバーにシングルサインオンを提供するように Citrix Gatewayを構成できますシングルサインオンを使するとSharePointサイトやWeb InterfaceなどのカスタムホームページにユーザーをリダイレクトできますCitrix Gatewayプラグインを使してアクセスインターフェイスで構成されたブックマークやユーザーがWebブラウザでしたWebアドレスからリソースへのシングルサインオンを構成することもできます

アクセスインターフェイスを SharePointサイトまたはWeb Interfaceにリダイレクトする場合はサイトのWebアドレスを指定しますCitrix Gatewayまたは外部認証サーバーによってユーザーが認証されるとユーザーは指定されたホームページにリダイレクトされ動的にログオンしますユーザクレデンシャルはWebサーバに透過的に渡されますWebサーバーが資格情報を受けれるとユーザーは動的にログオンしますWebサーバがクレデンシャルを拒否するとユーザ名とパスワードを要求する認証プロンプトが表されます


スマートカードを使してWeb Interfaceへのシングルサインオンを構成することもできます詳しくは「スマートカードを使したWeb Interfaceへのシングルサインオンの構成」を参照してください

Citrix Gatewayは次のバージョンのWeb Interfaceで動作します

bull Web Interface 45bull Web Interface 50bull Web Interface 51bull Web Interface 52bull Web Interface 53bull Web Interface 54


Citrix Gateway 130

シングルサインオンを構成する前にWeb Interfaceがすでに構成されておりCitrix Gatewayで動作していることを確認してください



March 26 2020

シングルサインオンをグローバルに適するとすべてのWebアプリケーションセッションを Citrix Gatewayで認証するのではなくWebサービスで認証できるようになります


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 Citrix Gatewayのグローバル設定］ダイアログボックスの［クライアントエクスペリエンス］タブで［Webアプリケーションへのシングルサインオン］をクリックし［OK］をクリックします



March 26 2020


2 詳細ペインの [プロファイル]タブでポリシーを選択し[追加]をクリックします3 [セッションポリシーの構成]ダイアログボックスで[要求プロファイル]の横にある [変更]をクリックします

4 [セッションプロファイルの構成]ダイアログボックスの [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]の横にある [グローバルオーバーライド]をクリックし[ Webアプリケーションへのシングルサインオン]をクリックして[ OK ]をクリックします



Citrix Gateway 130


March 26 2020

シングルサインオンは宛先ポートが HTTPポートとなされるネットワークトラフィックに対してのみ試されますHTTPトラフィックにポート 80以外のポートを使するアプリケーションへのシングルサインオンを許可するにはCitrix Gatewayで 1つ以上のポート番号を追加します複数のポートを有効にできますポートはグローバルに設定します




4 [HTTPポート]にポート番号をし[追加]をクリックし[ OK ]をクリックします

注内部ネットワーク内のWebアプリケーションで異なるポート番号を使する場合はポート番号をして [追加]をクリックしますWeb InterfaceなどのWebアプリケーションへのシングルサインオンを許可するにはHTTPポート番号を定義する必要があります


その他の設定時の注意事項

March 26 2020

Web Interfaceをシングルサインオンに構成する場合は次のガイドラインに従ってください

bull 認証サービスの URLは httpsで始まる必要がありますbull Web Interface を実するサーバーはCitrix Gateway 証明書を信頼し証明書の完全修飾ドメイン名（FQDN）を仮想サーバーの IPアドレスに解決できる必要があります

bull Web InterfaceはCitrix Gateway仮想サーバーへの接続を開くことができる必要がありますこの的にはどの Citrix Gateway仮想サーバーでも使できますユーザーがログオンする仮想サーバーである必要はありません

bull Web Interfaceと Citrix Gatewayの間にファイアウォールがある場合ファイアウォールルールによってユーザーアクセスが妨げられWeb Interfaceへのシングルサインオンが無効になりますこの問題を回避するにはファイアウォールルールを緩和するかWeb Interfaceが接続できる別の仮想サーバーをCitrix Gateway上に作成します仮想サーバーには内部ネットワーク内の IPアドレスが必要ですWebInterfaceに接続する場合はセキュアポート 443を宛先ポートとして使します


Citrix Gateway 130

bull 仮想サーバーのプライベート証明機関 (CA)からの証明書を使している場合はMicrosoft管理コンソール(MMC)で証明書スナップインを使してWeb Interfaceを実しているサーバー上のローカルコンピュータの証明書ストアに CAルート証明書をインストールします

bull ユーザーがログオンしアクセス拒否のエラーメッセージが表される場合はWeb Interfaceイベントビューアで詳細を確認してください

bull 公開アプリケーションまたはデスクトップに正常に接続するにはCitrix Gateway で構成した SecureTicket Authority（STA）がWeb Interfaceで構成した STAと致している必要があります


Web Interfaceへのシングルサインオン接続をテストするには

March 26 2020

Web Interfaceのシングルサインオンを構成した後クライアントデバイスからWebブラウザを開き正常な接続をテストします

1 WebブラウザでhttpsNetScalerGatewayFQDNとしますNetScalerGatewayFQDNは仮想サーバーにバインドされた証明書内の完全修飾ドメイン名（FQDN）です

2 Active Directoryのドメインユーザーアカウントにログオンしますログオン時にWeb Interfaceにリダイレクトされます

アプリケーションは追加の認証なしで動的に表されますユーザーが公開アプリケーションを起動するとCitrix Workspaceアプリは Citrix Gatewayアプライアンスを介してファーム内のサーバーにトラフィックを転送します


スマートカードを使したWeb Interfaceへのシングルサインオンの構成

April 9 2020

ユーザーのログオンにスマートカードを使する場合はWeb Interfaceへのシングルサインオンを構成できますCitrix Gatewayで設定を構成しスマートカードでシングルサインオンを受けれるようにWeb Interfaceを構成しますシングルサインオンはパススルー認証とも呼ばれます

Web Interfaceバージョン 53および 54ではスマートカードを使したWeb InterfaceへのシングルサインオンがサポートされていますNetScalerバージョン 10で使可能な Citrix ADC上のWeb Interface機能を


Citrix Gateway 130

有効にするとスマートカードでシングルサインオンを使することもできますこの機能の設定について詳しくは「Citrix Gatewayを介したWeb Interfaceでのスマートカード認証の使」を参照してください

ユーザーは証明書の操作でユーザー名の抽出が SubjectAltName PrincipalNameである限りシングルサインオンが機能するために Active Directory内の複数の CNグループに属することができますパラメータ SubjectCNを使する場合ユーザーは複数の CNグループに属することはできません

スマートカードを使してWeb Interfaceにシングルサインオンするように Citrix Gatewayを構成するには次の操作をう必要があります

bull 認証局 (CA)からの署名付きサーバー証明書をインストールします詳しくは「Citrix Gatewayへの署名付き証明書のインストール」を参照してください

bull Citrix Gatewayとユーザーデバイスにルート証明書をインストールしますbull Web Interfaceのログオンポイントとして仮想サーバーを作成します仮想サーバーを構成するときはクライアント証明書の SSLパラメーターを [Optional]に設定する必要があります仮想サーバの設定の詳細については仮想サーバーの作成を参照してください

bull SSLパラメータでクライアント認証を無効にするセカンダリ仮想サーバを作成しますこの構成によりユーザーは個識別番号 (PIN)の次要求を受信できなくなります

bull クライアント証明書の認証ポリシーを作成します[ユーザー名フィールド]でサブジェクト AltNamePrincipalNameパラメータを使して複数のグループからユーザーを抽出します[グループ名]フィールドは空のままにします

bull Citrix Gatewayでセッションポリシーとプロファイルを作成しますセッションプロファイル内でICAプロキシを有効にしシングルサインオンに使するWeb Interfaceとドメインを指定します

スマートカードを使したシングルサインオンのセッションプロファイルを作成するには次の順に従います

スマートカードを使してシングルサインオンのセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします

3 [クライアントエクスペリエンス]タブで[ホームページ]の横にある [グローバルに上書き]をクリックし[ホームページの表]をオフにします

1「Webアプリケーションへのシングルサインオン」の横にある「グローバルに上書き」をクリックし「Webアプリケーションへのシングルサインオン」をクリックします

2［Published Applications］タブをクリックします

3 ICAプロキシの横にある「グローバルオーバーライド」をクリックし「ON」を選択します

4 [Web Interfaceアドレス]で[グローバルに上書き]をクリックし完全修飾ドメイン名 (FQDN)またはWeb Interfaceをします

5［Single Sign-On Domain］で［グローバルに上書き］をクリックしドメイン名をします


Citrix Gateway 130

注 domaincomの形式ではなくドメインの形式を使する必要があります


セッションプロファイルを完了したらセッションポリシーを設定しそのプロファイルをポリシーの部として使しますその後セッションポリシーを仮想サーバにバインドできます


スマートカードを使してシングルサインオンにクライアント証明書を構成するには

March 26 2020

スマートカードを使してWeb Interfaceへのシングルサインオンを構成する場合は[仮想サーバー]ダイアログボックスの [証明書]で [クライアント認証]を選択しクライアント証明書を [オプション]として構成する必要があります[必須]を選択するとWeb Interfaceへのシングルサインオンは失敗します


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスの［証明書］タブで［SSLパラメータ］をクリックします

4 [SSLパラメータの構成]ダイアログボックスの [その他]で[クライアント認証]をクリックします5 [クライアント証明書]で [オプション]を選択し[OK]を 2回クリックします


Citrix Virtual Appsファイル共有のシングルサインオンを構成するには

March 26 2020

ユーザーが Citrix Virtual Appsを実しSmartAccessを使してサーバーに接続している場合はサーバーファームに接続するユーザーのシングルサインオンを構成できますセッションポリシーとプロファイルを使して公開アプリケーションへのアクセスを構成する場合はサーバーファームのドメイン名を使します



Citrix Gateway 130



4 [セッションプロファイルの構成]ダイアログボックスの [公開アプリケーション]タブの [シングルサインオンドメイン]で [グローバル上書き]をクリックしドメイン名をして [OK ]を 2回クリックします


ファイルタイプの関連付けの許可

March 26 2020

ファイルタイプの関連付けによりユーザーは Citrix Virtual Appsまたは Desktops 7で公開されたアプリケーションでドキュメントを開くことができますこの権限を使すると信頼された環境にあるサーバー上のドキュメントを開いたり編集したりドキュメントがユーザーデバイスに送信されないようにすることができますファイルタイプの関連付けは公開アプリケーションに関連付けられているドキュメントタイプに対してのみ使できますまたCitrix Gatewayで仮想サーバーのプロパティが正しく構成されている場合にのみ使できます

リソースドキュメントを編集するための唯の段としてファイルタイプの関連付けを提供することはユーザーデバイスではなくサーバー上で編集をう必要があるためセキュリティを強化するのに役ちますたとえば従業員が進中のプロジェクト会議のレポートを投稿するファイル共有に対してファイルの種類の関連付けを許可しダウンロードまたはアップロードをえるようにすることができます

ファイルタイプの関連付けをうには次のことが必要です

bull ユーザーはユーザーデバイス上で Citrix Workspaceアプリを実しますbull ユーザーはトラフィックポリシーがバインドされている仮想サーバーを介して接続しCitrix Virtual Appsのポリシーを構成します

bull ユーザーはCitrix Virtual Apps and Desktops 7で的のアプリケーションに割り当てられますbull 管理者はCitrix Gatewayと連携するように Citrix仮想アプリケーションを構成します

ファイルタイプの関連付けを作成する順は次のとおりです

bull Web Interfaceサイトを作成しますbull Citrix Gatewayでトラフィックポリシーを使してファイルタイプの関連付けを構成するbull Citrix Virtual Apps and Desktops 7でファイル拡張を定義する



Citrix Gateway 130

Web Interfaceサイトの作成

March 26 2020

ファイルの種類の関連付けを使するようにWeb Interfaceを構成するには最初にWeb Interfaceサイトを作成しますWeb Interfaceサイトは直接アクセス制御または度なアクセス制御にすることができますWebInterfaceサイトに次のディレクトリをコピーします

bull app_databull 認証bull サイト

これらのディレクトリをWeb Interfaceサイトにコピーすると既存のディレクトリが上書きされます

Web Interface 46または 50を使している場合はWeb Interfaceサイトディレクトリにwebconfigファイルを開き次のコードを追加しますこのコードはCitrixサポートサイト（httpsupportcitrixcomarticlectx116253）からダウンロードできます

1 pre codeblock2 ltlocation path=rdquositecontentLaunchicardquogt3 ltsystemwebgt4 lthttpHandlersgt5 ltadd verb=rdquordquo path=rdquoicardquo type=rdquoSystemWebUIPageHandlerFactoryrdquogt6 lthttpHandlersgt7 ltsystemwebgt8 ltlocationgt9 ltlocation path=rdquositecontentLaunchradrdquogt

10 ltsystemwebgt11 lthttpHandlersgt12 ltadd verb=rdquordquo path=rdquoradrdquo type=rdquoSystemWebUIPageHandlerFactoryrdquogt13 lthttpHandlersgt14 ltsystemwebgt15 ltlocationgt

このコードはwebconfigファイルの次のセクションの後に追加する必要があります

1 pre codeblock2 ltlocation path=rdquositelaunchradrdquogt3 ltsystemwebgt4 lthttpHandlersgt5 ltadd verb=rdquordquo path=rdquoradrdquo type=rdquoSystemWebUI

PageHandlerFactoryrdquogt6 lthttpHandlersgt7 ltsystemwebgt8 ltlocationgt


Citrix Gateway 130


ファイルタイプの関連付けのための Citrix Gatewayの構成

March 26 2020

Citrix Gatewayでファイルタイプの関連付けを構成する前にファイルタイプの関連付けを使するようにWebInterfaceサイトを構成しますWeb Interfaceを作成して構成したらCitrix Gatewayで設定を作成する必要があります順は次のとおりです

bull 新しい仮想サーバーを作成するか既存の仮想サーバーを使します仮想サーバの作成の詳細については仮想サーバーの作成を参照してください

bull Web Interfaceが設定された新しいセッションポリシーとプロファイルの作成bull 仮想サーバーへのセッションポリシーのバインドbull トラフィックポリシーの作成

セッションポリシーを作成して仮想サーバにバインドしたらトラフィックポリシーを作成し仮想サーバにバインドします

ファイルタイプの関連付けのトラフィックポリシーを設定する場合はファイル拡張を定義する式を作成しますたとえばMicrosoft Wordと Excelのファイルの種類の関連付けを有効にしたいとします式の例を次にします

REQHTTPURL == doc || REQHTTPURL == xls

ファイルタイプの関連付けのセッションポリシーとプロファイルを作成するには

1 構成ユーティリティで［構成］タブをクリックしナビゲーションペインで［Citrix Gateway］ gt［ポリシー］の順に展開し［セッション］をクリックします

2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [公開アプリケーション]タブで次の設定を構成します

a) [Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb InterfaceのWebアドレスをします

b) [Web Interface Portal Mode]の横にある [グローバルに上書き]をクリックし[標準]または [コンパクト]を選択します

c)［Single Sign-On Domain］の横にある［グローバルに上書き］をクリックしユーザーアカウントが存在するドメインの名前をして［作成］をクリックします


Citrix Gateway 130

7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [ True value ]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします

ファイルタイプの関連付けのトラフィックプロファイルを作成するには

1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gatewayポリシー］を展開し［トラフィック］をクリックします

2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をします4「ファイルタイプの関連付け」で「ON」を選択し「作成」をクリックしてから「閉じる」をクリックします

トラフィックポリシーでファイルタイプの関連付けを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4「要求プロファイル」でプロファイルを選択します5 [トラフィックポリシーの作成]ダイアログボックスの [式]で[度なフリーフォーム]を選択し[追加]をクリックします

6 [式の追加]ダイアログボックスで次の操作をいますa) [式の種類]で[般]をクリックしますb)「フローの種類」で「REQ」を選択しますc)「プロトコル」で「HTTP」を選択しますd)「修飾」で「URL」を選択しますe)「演算」で「= =」を選択しますf) [値]ボックスに「ファイル拡張の種類」としますファイル拡張の種類はdocやxlsなどのファイルの種類で[ OK]をクリックします

7 [トラフィックポリシーの作成]ダイアログボックスの [式]で[度なフリーフォーム]の横にある [ OR ]をクリックします

8 追加するファイル拡張ごとに順 456を繰り返し「作成」をクリックし「閉じる」をクリックします



March 26 2020


Citrix Gateway 130

公開リソースおよびデータへのアクセスを管理するにはStoreFrontサーバーを展開および構成しますリモートアクセスの場合はCitrix Gatewayを StoreFrontの前に追加することをお勧めします

注

Citrix Virtual Apps and Desktopsを Citrix Gatewayと統合する構成順についてはStoreFrontのドキュメントを参照してください

次の図はCitrix Gatewayを含む Citrixの簡易展開の例をしていますCitrix Gatewayは StoreFrontと通信してCitrix Virtual Apps and Desktopsが配信するアプリやデータを保護しますユーザーデバイスは CitrixWorkspaceアプリを実してセキュリティで保護された接続を構築しアプリデスクトップファイルにアクセスします

ユーザーはCitrix Gatewayを使してログオンおよび認証をいますCitrix GatewayはDMZで展開およびセキュリティ保護されます2要素認証が構成されますユーザーの資格情報に基づいてユーザーに該当のリソースおよびアプリケーションが提供されますアプリケーションとデータは適切なサーバー上に存在します（図には表されていません）セキュリティ上機微なアプリケーションとデータについては別のサーバーが使されます


Citrix Gatewayと StoreFrontの統合

March 26 2020

Citrix Virtual Apps and Desktopsウィザードを使してStoreFrontと Citrix Gatewayを統合しますこの統合によりCitrix Gatewayを介してホストされた仮想デスクトップ（XenDesktop）およびホストされたWindows仮想アプリケーション（XenApp）へのアクセスが容易になります

Storefrontと Citrix Gatewayをシームレスに統合するためにCitrix Virtual Apps and Desktopsウィザードのワークフローが次の機能で強化されました

bull サポートされている StoreFrontで構成されたストアの取得サポートされている Store Frontで構成されたストアをクリックするだけで取得できますこれにより作業による介を避けるため為的なミス（タイプミス）を避けることができます

bull StoreFront構成ファイルのエクスポートサポートStoreFront構成ファイルは Citrix Gatewayでエクスポートできますこのファイルはサポートされている StoreFrontサーバーにダウンロードしてインポートできますファイルがインポートされるとNetScalerの統合が完了します

bull 認証サーバーとしての StoreFront認証サービスの認証サーバーとして StoreFrontを使する度な認証アクションを導することで認証が簡略化されます

注認証サーバーはCitrix Virtual Apps and Desktops以外の展開にも使できます


Citrix Gateway 130

StoreFrontで使するように Citrix Gatewayを構成する法

前提条件

NetScalerを StoreFrontと統合するには次の情報が必要です

bull Citrix Gateway仮想サーバーの IPアドレスbull StoreFrontサーバーの完全修飾ドメイン名（FQDN）bull Citrix Gatewayのサーバー証明書bull 認証サーバの詳細

以下についても確認してください

bull Citrix Gatewayと StoreFront間のファイアウォールポートが開いているbull StoreFrontに LANアクセス可能

Citrix GatewayGUIを使して StoreFrontと Citrix Gatewayを統合するには

1［構成］gt［Citrix Virtual Apps and Desktops］に移動します

2 [はじめに]をクリックします

3「StoreFront」を選択し「続」をクリックします

4［Citrix Gateway］エリアで次のフィールドに値をし［続］をクリックします

bull Gatewayの完全修飾ドメイン名mdash Citrix Gatewayの完全修飾ドメイン名bull GatewayIPアドレスmdash Citrix Gatewayの IPアドレスbull ポートmdash Citrix Gatewayのポート

5 [サーバー証明書]領域に次のファイルをインポートし[続]をクリックします証明書ファイル -CitrixGatewayのサーバー証明書

6 StoreFront領域に次の情報をし「続」をクリックします

bull StoreFront URL mdash StoreFrontサーバーの URL

bull Receiver for Webパス -StoreFrontで既に構成されているWebサイトへのパス

bull デフォルトの Active Directoryドメイン -内部ネットワークのシングルサインオンアプリケーションに使されるシングルサインオンドメイン

bull Secure Ticket Authority URL mdash Secure Ticket Authority URLこれは通常配信 Controller上に存在します

注「ストアの取得」Citrix Gatewayが StoreFrontに接続しStoreFrontで構成されているすべてのストア情報を返します次にドロップダウンメニューから [優先するストア]を選択します「ストアの取得」オプションは最新の StoreFrontサーバーでのみ機能します


Citrix Gateway 130

7 新しい認証設定ではユーザーは新しい認証ポリシーを作成するか既存の認証ポリシーを使できます

新しいドメインベース認証ポリシーを作成するにはの次のフィールドに値をし[ Continue]をクリックします

8 ドロップダウンメニューから認証タイプ -ドメインの選択を選択します

9 [新しいサーバーの追加]または [要件に基づいて既存のサーバーを使する]を選択します

bull IPアドレスドメインサーバの IPアドレスbull ポートドメインサーバのポートbull ベース DN -ユーザーが配置されるベース DNbull サービスアカウント -Active Directoryのクエリに使するアカウントbull パスワード -ドメインサーバへのログオンに必要なパスワードbull タイムアウトドメインディレクトリが検索される期間bull サーバーのログオン名属性 -NetScaler アプライアンスが外部ドメインサーバーまたは Active

Directoryを照会するために使する名前属性

オプションで [接続のテスト]をクリックするとサーバが到達可能であり有効な資格情報が提供されていることを確認できます

注既存の認証ポリシーを使するには「認証タイプの選択」ドロップダウンから必要な認証タイプを選択し上記の情報をします

10［Citrix Gatewayの設定］ページで［完了］をクリックします

11 [ファイルのダウンロード]をクリックします

StoreFront GUIで必要な構成順は次のとおりです

1 Gateway構成のzipファイルを StoreFrontにコピーします2 [ストア]をクリックします3［Citrix Gatewayの管理］を選択し［Citrix Gatewayの管理］ウィンドウで［ファイルからインポート］リンクをクリックします

4 [ NetScaler構成のインポート]ウィンドウの [ファイルの選択]領域で[次へ]をクリックします5［ログオンタイプの選択］領域でオプションで StoreFrontが Citrix Gatewayに接続するためのコールバック URLを指定し［次へ］をクリックします

6「チケット認証局」で「次へ」をクリックします7 [変更の確認]で[次へ]をクリックします8［完了］をクリックします



Citrix Gateway 130

Citrix Endpoint Management環境の設定の構成

April 9 2020

Citrix Endpoint Management Citrix ADCウィザードの指に従ってCitrix Endpoint Management展開の Citrix ADC機能の構成をいますこのウィザードを使すると次の操作を実できます

bull マイクロ VPNを設定しますこのシナリオではリモートユーザーは内部ネットワークのアプリやデスクトップにアクセスできます

ndash Citrix Endpoint Management MAM専モードでは認証に Citrix Gatewayを使する必要があります

ndash MDMの展開ではモバイルデバイス VPNとして Citrix Gatewayをお勧めします

ndash ENT展開ではユーザーがMDM登録をオプトアウトするとデバイスは従来のMAMモードで動作しCitrix Gatewayの FQDNを使して登録されます

bull 証明書ベースの認証を構成しますCitrix Endpoint Managementデフォルト構成はユーザー名とパスワード認証ですCitrix Endpoint Management環境への登録とアクセスのセキュリティをさらに強化するには証明書ベースの認証の使を検討してください

bull Citrix Endpoint Managementサーバーの負荷を分散しますCitrix ADCの負荷分散は複数の CitrixEndpoint Managementサーバーがある場合または Citrix Endpoint Managementが DMZまたは内部ネットワーク内にある場合（したがってデバイスから Citrix ADCにトラフィックが流れる）すべてのCitrix Endpoint Managementデバイスモードに必要ですこのシナリオではCitrix ADCアプライアンスはユーザーデバイスと Citrix Endpoint Managementサーバー間の DMZに存在しモバイルデバイスから Citrix Endpoint Managementサーバーに暗号化された送信データを負荷分散します

bull メールフィルタリング機能を備えたMicrosoft Exchangeサーバの負荷を分散しますこのシナリオではCitrix ADCアプライアンスはユーザーデバイスと Citrix Endpoint Management Citrix ADCコネクタ（XNC）との間およびユーザーデバイスとMicrosoft Exchange CASサーバーの間にありますユーザーデバイスからの要求はすべて Citrix Gatewayアプライアンスに送信されXNCと通信してデバイスに関する情報を取得しますXNCからの応答に応じてCitrix ADCアプライアンスはホワイトリストに登録されたデバイスから内部ネットワークのサーバーに要求を転送するかブラックリストに登録されたデバイスからの接続を切断します

bull 要求されたコンテンツの種類に基づいてShareFileストレージゾーンコネクタのロードバランシングをいますこのシナリオではStorageZones Controller環境に関する基本情報のを求められ次の処理をう構成が成されます

ndash ストレージゾーンコントローラ間でトラフィックのロードバランシングをいますndash ストレージゾーンコネクタのユーザー認証を提供しますndash ShareFileアップロードとダウンロードの URI署名を検証しますndash Citrix ADCアプライアンスで SSL接続を終了します


Citrix Gateway 130

ShareFileの構成について詳しくは「StorageZones Controllerの Citrix ADC構成」を参照してください

重要

Citrix Endpoint Managementウィザードを使する前に以下の Citrix Endpoint Managementの展開に関する記事を参照して設計と展開に関する情報と推奨事項を確認してください

Citrix Endpoint Management統合

Citrix Gatewayおよび Citrix ADCとの統合

MDXアプリの SSOとプロキシの考慮事項

認証

Citrix Endpoint Management Citrix ADCウィザードは1回だけ使できますテスト環境開発環境実稼働環境など複数の Citrix Endpoint Managementインスタンスが必要な場合は追加の環境にCitrix ADCを動で構成する必要があります以下のサポート記事ではウィザードで実されるコマンドの覧とそれらのコマンドを実して新しい Citrix ADCインスタンスを作成する法を説明します

Citrix ADC-SSLブリッジで Citrix Endpoint Managementウィザードによって成されるコマンド

Citrix ADC-SSLオフロードで Citrix Endpoint Managementウィザードによって成されるコマンド

Citrix ADC機能のライセンス要件

以下の Citrix ADC機能を有効にするにはライセンスをインストールする必要があります

bull Citrix Endpoint Management MDM負荷分散にはCitrix ADC標準ライセンスが必要ですbull ストレージゾーンを使した ShareFile負荷分散にはCitrix ADC標準ライセンスが必要ですbull Exchangeの負荷分散にはCitrix ADCライセンスまたは統合キャッシュライセンスを追加した Advancedライセンスが必要です

Citrix Endpoint Managementウィザード Citrix ADCウィザード

このセクションではCitrix ADC for Citrix Endpoint Managementウィザードを使して以下の操作をう例をします

bull 内部ネットワーク内の Citrix Endpoint Managementで管理されるリソースへのリモートユーザー接続のマイクロ VPNアクセスをセットアップする

bull 証明書ベースの認証を構成しますパブリック SSL証明書の取得とインストールについては「証明書のインストールと管理」を参照してください

bull Citrix Endpoint Managementサーバーの負荷分散を構成します

ウィザードを使するには次の順に従います

1 構成ユーティリティで［構成］タブをクリックし［Citrix Endpoint Management］をクリックします


Citrix Gateway 130

2 Citrix Endpoint Managementのバージョンを選択し［開始］をクリックします

3 設定する機能のチェックボックスをオンにしますこのウィザードは 1 回だけ使できるため以降の構成を動で実する必要がありますこれらの順は次の設定を選択することを前提としていますCitrix Gateway 経由のアクセス（ENT モードまたは MAM モードで実されている Citrix EndpointManagement）負荷分散 Citrix Endpoint Managementサーバー

4 Citrix Gateway設定ページで外部の Citrix Gatewayの IPアドレスポート仮想サーバー名の値をします

5 Citrix Gatewayのサーバー証明書］ページの［証明書ファイル］ドロップダウンメニューから［ローカル］または［アプライアンス］から証明書ファイルを選択します証明書がローカルマシン上にある場合

証明書がアプライアンス上にある場合

6 [認証設定]ページの [プライマリ認証法]フィールドで[クライアント証明書]を選択します

これによって次の 2つのフィールドで動的に［Use existing certificate policy］および［Cert Auth］を選択します次の順では証明書ポリシーがすでにあることを前提しています

証明書を作成する必要がある場合［Create certificate policy］をクリックして設定を完了します［Citrix Endpoint Management証明書］画で既存のサーバー証明書を選択するか新しい証明書をインストールします複数の Citrix Endpoint Managementサーバーを実している場合はそれぞれに証明書を追加します[サーバーログオン名の属性]で要件に応じてユーザープリンシパル名またはsamAccountNameを指定します

bull a[ここをクリックして CA証明書を変更してください]を選択し[参照]ボックスの覧で的の CA証明書に移動します

bull b プライマリ認証タイプとしてクライアント証明書を使する場合セカンダリ認証タイプとしてLDPA（または RADIUS）を設定できます

クライアント証明書認証のみを使するには[ 2番の認証法]を [なし]のままにして[続]をクリックします

クライアント証明書 +ドメイン (LDAP)認証を使するには[ 2番の認証法]を [ LDAP ]に変更し認証サーバーの設定を構成します

bull c ［デバイス証明書］画で証明書がまだインストールされていない場合はCitrix EndpointManagementコンソールからこの証明書をエクスポートする必要がありますコンソールで右上隅にある歯アイコンをクリックして［設定］画を開きます

bull d [証明書]をクリックし覧から CA証明書を選択します

bull e［エクスポート］をクリックします

bull f Citrix ADCウィザードに戻りエクスポートした（ダウンロードした）証明書を選択してインストールします


Citrix Gateway 130

bull g［続］をクリックします

設定した Citrix Endpoint Management IPアドレスが表されます

7 Citrix Endpoint Managementアプリケーションの管理設定を構成します

bull Citrix EndpointManagementの FQDNをしますこれはMAMのロードバランシング FQDNです

bull Citrix Endpoint Managementサーバーの負荷分散をう仮想サーバーのMAM専内部負荷分散IPアドレスをしますCitrix GatewayはこのMAM負荷分散仮想 IPを介して Citrix EndpointManagementと通信します

bull これは SSLオフロード展開であるため［Citrix Endpoint Managementサーバーとの通信］で［HTTP］を選択します

bull MicroVPNフィールドのスプリット DNSモードは動的に両に設定されます

展開で分割トンネリングが必要な場合は[分割トンネリングを有効にする]を選択します次に分割トンネリングを有効にする場合はイントラネットアプリケーションバインディングを設定する必要があります

デフォルトではSecure Webアクセスは内部ネットワークにトンネリングされますつまりSecure Webはすべてのネットワークアクセスに対してアプリケーションごとの VPNトンネルを内部ネットワークに戻しCitrix ADCアプライアンスは分割トンネル設定を使します

8 Citrix Gatewayでユーザー接続の傍受ルールを構成するにはイントラネットアプリケーションのバインドを構成する必要がありますバインドを追加するには[ + ]をクリックします

9 ネットワークアクセスを許可するためのパラメータをし[ Create]をクリックします

10 Citrix Endpoint Management証明書を追加しますこれはMAM負荷分散仮想サーバーに使されます

11［Citrix Endpoint Managementサーバー］で［サーバーの追加］をクリックして負荷分散仮想 IPにバインドする Citrix Endpoint ManagementIPアドレスを追加します

12 Citrix ADCダッシュボードでCitrix Gatewayと Citrix Endpoint Management負荷分散が次のように構成されていることを確認します

ユーザープリンシパル名 (UPN)の代わりとしてユーザー証明書で sAMAccount属性を使する場合はの説明に従って証明書プロファイルを構成クライアント証明書認証のための Citrix Gatewayの動構成します


Citrix Endpoint Managementまたは Citrix XenMobileサーバーの負荷分散サーバーの構成

March 26 2020


Citrix Gateway 130

Citrix Endpoint Management Citrix ADCウィザードを使して初期セットアップした後このセクションで説明するようにCitrix Gateway構成ユーティリティを使して負荷分散を構成しますCitrix EndpointManagementの場合はSSLオフロードを使しますCitrix Endpoint Management Serverの場合は『CitrixGatewayおよび Citrix ADCとの統合』の「展開の概要」の下にある負荷分散モードに関する推奨事項を参照してください

Citrix ADC VIPで SSLブリッジモードを使するには

Citrix Endpoint Managementが DMZにある場合はSSLブリッジモードを使しますSSLブリッジモードで Citrix ADC VIPを使して Citrix Endpoint Managementを負荷分散するとインターネットトラフィックはCitrix Endpoint Managementサーバーに直接流れそこで接続が終了しますSSLブリッジモードはセットアップとトラブルシューティングが最も簡単なモードです

1 SSLブリッジモードを構成する前にCitrix Endpoint Managementアプリケーション管理設定に移動しCitrix Endpoint Managementサーバーとの通信がHTTPSであることを確認します

2 構成ユーティリティにログオンした後[ホーム]タブのMDMサーバー LBで[構成]をクリックします

3 [デバイス管理 LB仮想サーバー]の [名前]にサーバーの名前をします

4 [ IPアドレス]に仮想サーバーの IPアドレスをし[続]をクリックします

5 [ Citrix Endpoint Management MDMサーバーの負荷分散]ページで順 3と 4を繰り返し[作成]をクリックします

6 設定が正しいことを確認し[完了]をクリックします

7 ロードバランシング設定を確認するには[トラフィック管理] gt [仮想サーバー]に移動します

Citrix ADC VIPで SSLオフロードモードを使するには

Citrix Endpoint Managementには SSLオフロードを使しますまたセキュリティ基準を満たすために必要な場合はオンプレミスの Citrix Endpoint Managementが内部ネットワークにある場合はSSLオフロードを使しますSSLオフロードモードで Citrix ADC VIPを使して Citrix Endpoint Managementを負荷分散するとインターネットトラフィックは Citrix ADCアプライアンスに直接流れそこで接続が終了しますその後CitrixGatewayはアプライアンスから Citrix Endpoint Managementへの新しいセッションを確しますSSLオフロードモードでのセットアップとトラブルシューティングはさらに複雑です

1 SSLオフロードモードを構成する前に［Citrix Endpoint Managementアプリケーション管理設定］に移動し［Citrix Endpoint Managementサーバーとの通信］が［HTTP］であることを確認します

2 構成ユーティリティにログオンします[ホーム]タブの [ MDMサーバー LB ]で[構成]をクリックします




Citrix Gateway 130


6 設定を確認し[完了]をクリックします

7 サーバ証明書を追加するかどうかを確認するメッセージが表されたらサーバ証明書を選択し[Continue]をクリックします

8 CA証明書を指定し[続]をクリックします

9 同じ Citrix Endpoint Management IPアドレスを使します［完了］をクリックします



電メールセキュリティフィルタリングを使したMicrosoft Exchangeのロードバランシングサーバーの構成

March 26 2020

1 [ホーム]タブの [ MDMサーバー LB ]で[構成]をクリックします

2 [ Exchange CAS LB仮想サーバー]の [名前]にサーバーの名前をします

3 [ IPアドレス]に仮想サーバーの IPアドレスをします

4［Port］ボックスにポート番号をしますさらにポートを追加するにはプラス記号 (+)をクリックしポート番号をします


6 [証明書]で既存の証明書を選択するかコンピュータ（ローカル）または Citrix ADCアプライアンス（アプライアンス）にインストールします


8 [ Exchange CASサービスインスタンス]で仮想サーバーの名前IPアドレスポート番号をします次に[追加して続]をクリックします

［完了］をクリックするとCitrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSyncフィルタリングを構成するためのフィールドが表されます



Citrix Gateway 130

Citrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSyncフィルタリングの構成

March 26 2020

Citrix Endpoint Management Citrix ADCコネクタ（XNC）はExchange ActiveSyncプロトコルのリバースプロキシとして機能する Citrix ADCに対してActiveSyncクライアントのデバイスレベルの認証サービスを提供します認証はCitrix Endpoint Management内で定義されたポリシーとXNCによってローカルに定義されたルールの組み合わせによって制御されます

1［Citrix Endpoint Management］［Citrix ADCコネクタ（XNC）ActiveSyncフィルタリング］で［コールアウトプロトコル］で［http］または［https］を選択します

2 [ XNC IPアドレス]にCitrix Endpoint Managementの Citrix ADCコネクタの IPアドレスをします

3 [ポート]でHTTPネットワークトラフィックの場合は 9080HTTPSネットワークトラフィックの場合は9443とし[続]をクリックします

設定が表されます


Citrixモバイル産性アプリを使したモバイルデバイスからのアクセスの許可

April 9 2020

Citrix ADC for XenMobileウィザードではサポートされているデバイスから Citrix Gateway経由で内部ネットワークのモバイルアプリやリソースに接続するために必要な設定を構成しますユーザーはSecure Hub（以前はWorx Home）を使して接続しMicro VPNトンネルを確しますユーザーが接続するとVPNトンネルがCitrix Gatewayに開き内部ネットワークの XenMobileに渡されますユーザーはXenMobileからWebモバイルおよび SaaSアプリケーションにアクセスできます

複数のデバイスで Citrix Gatewayに同時に接続するときにユーザーが単のユニバーサルライセンスを使できるようにするには仮想サーバーでセッション転送を有効にします詳しくは「仮想サーバでの接続タイプの設定」を参照してください

Citrix ADC for XenMobileウィザードを使した後に構成を変更する必要がある場合はこの記事のセクションを参照してください設定を変更する前に変更の影響を理解しておいてください詳細についてはXenMobileの展開記事を参照してください


Citrix Gateway 130

Citrix Gatewayでの Secure Browse構成

Secure Browseはグローバル設定の部としてまたはセッションプロファイルの部として変更できますセッションポリシーはユーザーグループまたは仮想サーバーにバインドできますSecure Browseを設定する場合はクライアントレスアクセスも有効にする必要がありますただしクライアントレスアクセスではSecureBrowseを有効にする必要はありませんクライアントレスアクセスを設定する場合は[クライアントレスアクセスURLエンコーディング]を [クリア]に設定します

Secure Browseをグローバルに構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバルCitrix Gateway設定］ダイアログボックスの［セキュリティ］タブで［セキュリティで Secure

Browseをクリックし［OK］をクリックします

セッションポリシーおよびプロファイルで Secure Browseを構成するには


2 詳細ウィンドウで次のいずれかの操作をいますbull 新しいセッションポリシーを作成する場合は[ Add]をクリックしますbull 既存のポリシーを変更する場合はポリシーを選択して [開く]をクリックします

3 ポリシーで新しいプロファイルを作成するか既存のプロファイルを変更しますこれをうには次のいずれかの操作をいます


4 [セキュリティ]タブの [セキュリティで Secure Browse ]の横にある [グローバルに上書き]をクリックし[セキュリティで保護された参照]を選択します

5 次のいずれかをいますbull 新しいプロファイルを作成する場合は[ Create]をクリックしポリシーダイアログボックスで式を設定し[ Create]をクリックして[ Close]をクリックします

bull 既存のプロファイルを修正する場合は選択後に [ OK ]を 2回クリックします

セキュア Secure Browseモードで Secure Webのトラフィックポリシーを設定するには

次の順に従ってSecure Webトラフィックをセキュア Secure Browseモードでプロキシサーバー経由でルーティングするトラフィックポリシーを設定します

1 構成ユーティリティの [構成]タブで[ Citrix Gateway] gt [ポリシー]を展開し[トラフィック]をクリックします

2 右ペインで[ Traffic Profiles ]タブをクリックし[ Add ]をクリックします

3 [名前]にプロファイルの名前をし[プロトコル]として [ TCP]を選択し残りの設定はそのままにします


Citrix Gateway 130


5 [トラフィックプロファイル]タブをクリックし[追加]をクリックします

6 [名前]にプロファイルの名前をし[プロトコル]として [ HTTP]を選択しますこのトラフィックプロファイルはHTTPと SSLの両ですCVPNトラフィックは宛先ポートまたはサービスタイプに関係なく設計上HTTPトラフィックですしたがってトラフィックプロファイルで SSLトラフィックと HTTPトラフィックの両をHTTPとして指定します

7「プロキシ」にプロキシサーバーの IPアドレスをします「ポート」にプロキシサーバーのポート番号をします



10 トラフィックポリシーの名前をし[ Request Profile ]でステップ 3で作成したトラフィックプロファイルを選択します次の式をし[作成]をクリックします

REQHTTPHEADERHOSTに Ac-tiveSync-Serverが含まれています

REQHTTPHEADERUser-AgentCON-TAINSWorx-Mail

REQHTTPHEADERUser-AgentCON-TAINScomzenprise

REQHTTPHEADERUser-AgentCON-TAINSWorx-Home

REQHTTPURLCON-TAINSAGSer-vices

REQHTTPURLCON-TAINSStoreWeb

このルールはホストヘッダーに基づいてチェックを実しますプロキシからのアクティブ同期トラフィックをバイパスするにはActiveSyncServerを適切な ActiveSync cサーバー名に置き換えます

11 [トラフィックプロファイル]タブをクリックし[追加]をクリックしますトラフィックポリシーの名前をし[ Request Profile ]でステップ 6で作成したトラフィックプロファイルを選択します次の式をし[作成]をクリックします

(REQHTTPHEADERUser-AgentCONTAINSMozilla

REQHTTPHEADERUser-AgentCONTAINScomcitrixbrowser

REQHTTPHEADERUser-AgentCONTAINSWorxWeb) ampampREQTCPDESTPORT== 80

12 [トラフィックプロファイル]タブをクリックし[追加]をクリックしますトラフィックポリシーの名前を


Citrix Gateway 130

し[ Request Profile ]でステップ 6で作成したトラフィックプロファイルを選択します次の式をし[作成]をクリックします




13［Citrix Gateway］gt［仮想サーバー］に移動し右側のペインで仮想サーバーを選択し［編集］をクリックします

14 [ポリシー]で[ + ]をクリックします

15 [ポリシーの選択]メニューから[トラフィック]を選択します


17 [ポリシーのバインド]の [ポリシーの選択]で[ gt]をクリックします

18 順 10で作成したポリシーを選択し[ OK]をクリックします


20 [ポリシー]で[トラフィックポリシー]をクリックします

21 [ VPN仮想サーバートラフィックポリシーバインディング]で[バインドの追加]をクリックします

22 [ポリシーのバインド]で[ポリシーの選択]メニューの横にある [ gt]をクリックしてポリシーのリストを表します











Citrix Gateway 130

XenMobileコンソールで Secure Web（WorxWeb）アプリを構成してください[設定] gt [アプリ]に移動し[Secure Webアプリ]を選択し[編集]をクリックして次の変更をいます

bull [アプリの情報]ページで[初期 VPNモード]を [Secure Browseに変更しますbull [ iOS ]ページで[初期 VPNモード]を [ Secure Browse]に変更しますbull [ Android ]ページで[優先 VPNモード]を [ Secure Browse]に変更します

アプリケーションおよびMDXトークンのタイムアウトの構成

ユーザーが iOSまたは AndroidデバイスからログオンするとアプリケーショントークンまたはMDXトークンが発されますトークンはSecure Ticket Authority（STA）に似ています

トークンがアクティブになる秒数または分数を設定できますトークンの有効期限が切れた場合ユーザーはアプリケーションやWebページなどの要求されたリソースにアクセスできません

トークンのタイムアウトはグローバル設定ですこの設定を構成するとCitrix Gatewayにログオンするすべてのユーザーに適されます


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバル Citrix Gateway設定］ダイアログボックスの［クライアントエクスペリエンス］タブで［詳細設定］をクリックします

4 [全般]タブの [アプリケーショントークンのタイムアウト (秒) ]にトークンの有効期限が切れるまでの秒数をしますデフォルトは 100秒です

5 [ MDXトークンのタイムアウト (分)]にトークンの有効期限が切れるまでの分数をし[ OK]をクリックしますデフォルトは 10分です

モバイルデバイスのエンドポイント分析の無効化

エンドポイント分析を設定する場合はエンドポイント分析スキャンが Androidまたは iOSモバイルデバイスで実されないようにポリシー式を設定する必要がありますエンドポイント分析スキャンはモバイルデバイスではサポートされていません

エンドポイント分析ポリシーを仮想サーバーにバインドする場合はモバイルデバイスのセカンダリ仮想サーバーを作成する必要があります事前認証または認証後のポリシーはモバイルデバイスの仮想サーバーにバインドしないでください

事前認証ポリシーでポリシー式を設定する場合はユーザーエージェント字列を追加して Androidまたは iOSを除外しますユーザーがこれらのデバイスのいずれかからログオンしデバイスタイプを除外するとエンドポイント分析は実されません


Citrix Gateway 130

たとえばユーザーエージェントに Androidが含まれているかどうかアプリケーション virusexeが存在しない場合および事前認証プロファイルを使して実されている場合 keyloggerexeプロセスを終了するには次のポリシー式を作成しますポリシー表現は次のようになります

REQHTTPHEADERUser-Agent NOTCONTAINSAndroid ampampCLIENTAPPLICATIONPROCESS(keyloggerexe)に含まれる

CLIENTAPPLICATIONPROCESS(virusexe)に含まれる

事前認証ポリシーとプロファイルを作成したらポリシーを仮想サーバーにバインドしますユーザーが Androidまたは iOSデバイスからログオンするとスキャンは実されませんユーザーがWindowsベースのデバイスからログオンするとスキャンが実されます

事前認証ポリシーの構成について詳しくは「エンドポイントポリシーの設定」を参照してください

Androidデバイスで DNSサフィックスを使した DNSクエリのサポート

ユーザーが AndroidデバイスからMicro VPN接続を確するとCitrix Gatewayはスプリット DNS設定をユーザーデバイスに送信しますCitrix Gatewayでは構成したスプリット DNS設定に基づいてスプリット DNSクエリがサポートされますCitrix Gatewayではアプライアンス上で構成した DNSサフィックスに基づいたスプリット DNSクエリもサポートできますユーザーが Androidデバイスから接続する場合はCitrix Gatewayで DNS設定を構成する必要があります

スプリット DNSは次のように動作します

bull スプリット DNSを [ローカル]に設定するとAndroidデバイスはすべての DNS要求をローカル DNSサーバーに送信します

bull スプリット DNSをリモートに設定するとすべてのDNS要求が Citrix Gateway（リモート DNSサーバー）で構成された DNSサーバーに送信され解決されます

bull スプリット DNSを [両]に設定するとAndroidデバイスは DNS要求の種類をチェックしますndash DNS要求の種類が「A」でない場合はDNS要求パケットをローカルおよびリモートの DNSサーバーに送信します

ndash DNSリクエストタイプが「A」の場合Androidプラグインはクエリ FQDNを抽出しその FQDNをCitrix ADCで設定された DNSサフィックスリストと照合しますDNS要求の FQDNが致するとDNS要求がリモート DNSサーバーに送信されますFQDNが致しない場合DNS要求はローカルDNSサーバーに送信されます

次の表はタイプ Aのレコードとサフィックス覧に基づく分割 DNSの動作をまとめたものです


Citrix Gateway 130

スプリット DNS設定それはタイプ Aレコードですか

接尾辞リストに載っていますか

DNS要求が送信される場所

Local [はい]または [いいえ]の両

[はい]または [いいえ]の両

Local

Remote [はい]または [いいえ]の両


Remote

Both いいえ - Both

Both はいはい Remote

Both はいいいえ Local

DNSサフィックスを構成するには次の順を実します



Citrix Gatewayでスプリット DNSをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [全般]タブの [スプリット DNS ]で[両][リモート]または [ローカル]を選択し[ OK ]をクリックします

Citrix Gatewayのセッションポリシーでスプリット DNSを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします7 [全般]タブの [スプリット DNS ]の横にある [グローバル上書き]をクリックし[両][リモート]または [ローカル]を選択して[ OK ]をクリックします


Citrix Gateway 130

8 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [ 全般][ True ][式の追加 ][作成][閉じる]の順にクリックします


Citrix Endpoint Managementのためのドメインおよびセキュリティトークン認証の構成

April 9 2020

RADIUSプロトコルを使してLDAP資格情報およびワンタイムパスワードによる認証をユーザーに要求するようにCitrix Endpoint Managementを構成できますこのセクションではその 2要素認証タイプに必要な CitrixGateway構成について説明します

前提条件

Citrix Endpoint Management Citrix ADCウィザードをまだ実していない場合はCitrix Endpoint Man-agement環境の設定の構成の Citrix Endpoint Managementウィザードの Citrix ADCセクションを参照してくださいCitrix ADC構成に以下が含まれていることを確認します

bull LDAPポート番号 = 636（セキュアLDAP接続のデフォルトポート）bull サーバーログオン名属性 = samAccountNameまたはユーザーの要件に従ってユーザープリンシパル名

ドメイン認証とセキュリティトークン認証を構成するには

1 Citrix Gateway gt［仮想サーバー］の順に選択します仮想サーバを選択し[ Edit]をクリックします

2 [ CA証明書なし]をクリックします

3「CA証明書の選択」で証明書を選択し「OK」「バインド」「完了」の順にクリックします

4 [ポリシー] gt [セッション] gt [セッションプロファイル]に移動しAC_OSで始まるプロファイルを選択して[編集]をクリックします

5 [クライアントエクスペリエンス]タブをクリックしページの下部に移動します

6「認証情報インデックス」から「SECONDARY」を選択します


8 [ポリシー] gt [認証] gt [LDAP]に移動し[ LDAPポリシー]タブをクリックして [編集]をクリックします


Citrix Gateway 130

9 Citrix Endpoint Managementと Citrix Endpoint Managementおよび Citrix Virtual Apps and Desk-topsに個別の Citrix Gateway VIPを使するにはExpressionで NS_TRUEを次のように置き換えます

REQHTTPHEADER User-Agent CONTAINS CitrixReceiver

10 [ポリシー] gt [認証] gt [RADIUS ]に移動し[サーバー]タブをクリックします

11 [追加]をクリックしRadiusサーバの詳細をして[作成]をクリックします

12 [ポリシー]に移動し[追加]をクリックします

13 ポリシーの名前をします[サーバー]ドロップダウンメニューからRadiusサーバー名 (この例ではRadius_Server )を選択します

14 [式]に「REQHTTPHEADERユーザーエージェントが Citrix Receiverを含む」とし[作成]をクリックします


16 [プライマリ認証]で[ LDAPポリシー]をクリックします

17 ポリシーを選択し[バインド解除]をクリックして[閉じる]をクリックします

18 [認証]で[ + ]をクリックして Radius認証を追加します

19 [タイプの選択]で[ポリシーの選択]から [ RADIUS]を選択します


21 前に作成した Radius認証ポリシーを選択し[ Insert]をクリックします


23 LDAPをセカンダリ認証ポリシーとして追加するには[認証]で [ + ]をクリックします

24「ポリシーの選択」から「LDAP」を選択します

25「タイプの選択」から「セカンダリ」を選択します

26「ポリシーの選択」からLDAPポリシーを選択します

27 ポリシーを選択し[ OK]をクリックします



30 作成したポリシーの優先順位が最もいことを確認しますこれによりモバイル以外のユーザーに対して追加のポリシーが追加された場合でもユーザーの優先順位が最もくなります詳細については「認証ポリシーの優先順位の設定」を参照してください



Citrix Gateway 130

クライアント証明書またはクライアント証明書およびドメイン認証の設定

March 26 2020

Citrix ADC for Citrix Endpoint Managementウィザードを使してCitrix ADC証明書のみの認証または証明書とドメイン認証を使する場合にCitrix Endpoint Management に必要な構成を実できますCitrixEndpoint Management Citrix ADCウィザードは1回だけ実できます作成ウィザードの使について詳しくは「Citrix Endpoint Management環境の設定の構成」を参照してください）

ウィザードを既に使している場合はこの記事の順に従ってクライアント証明書の認証またはクライアント証明書とドメイン認証に必要な追加構成をいます

MAM専モードのデバイスのユーザーがデバイス上の既存の証明書を使して認証できないようにするにはこの記事の後半の「Citrix ADC証明書失効リスト（CRL）」を参照してください

クライアント証明書認証のための Citrix Gatewayの動構成

1 [トラフィック管理] gt [負荷分散] gt [仮想サーバー]で各仮想サーバー (443と 8443の両)に移動しSSLパラメーターを更新し[セッション再利の有効化]を [DISABLED]に設定します

2 Citrix Gateway仮想サーバーで「クライアント認証を有効にする」-gt「クライアント証明書」で「クライアント認証」を選択し「クライアント証明書」で「必須」を選択します

3 認証証明書ポリシーを作成しCitrix Endpoint Managementが Secure Hubから Citrix Gatewayに提供されるクライアント証明書からユーザープリンシパル名または sAMAccountを抽出できるようにします詳しくは「XenMobile Citrix ADC ADCウィザード」を参照してください

4 証明書プロファイルの次のパラメータを設定します

Authentication TypeCERT

2つの要素OFF（証明書のみの認証）

ユーザー名フィールド件名 CN

Group Name FieldSubjectAltNamePrincipalName

5 Citrix Gateway仮想サーバーで証明書認証ポリシーのみをプライマリ認証としてバインドします

6 ルート CA証明書をバインドしてCitrix Gatewayに提されたクライアント証明書の信頼を検証します

クライアント証明書とドメイン認証のための Citrix Gatewayの動構成

1 [トラフィック管理] gt [負荷分散] gt [仮想サーバー]で各仮想サーバー (443と 8443の両)に移動しSSLパラメーターを更新し[セッション再利の有効化]を [ DISABLED]に設定します


Citrix Gateway 130

2「ポリシー」gt「認証」gt「証明書」の順に選択し「サーバー」タブを選択して「追加」をクリックします

3 プロファイルの名前をし[ 2ファクタ]を [オン]に設定し[ユーザ名フィールド]から [サブジェクトAltNamePrincipalName]を選択します


5 ポリシーの名前をし[サーバ]から証明書プロファイルを選択し[式]を ns_trueに設定して [作成]をクリックします

6「仮想サーバー」に移動し仮想サーバーを選択して「編集」をクリックします

7 [認証]の横の [ +]をクリックして証明書認証を追加します

8 認証法を選択するには「ポリシーの選択」から「証明書」を選択します

9「タイプの選択」で「プライマリ」を選択しますこれによりLDAP認証タイプと同じプライオリティのプライマリ認証として証明書認証がバインドされます

10 [ポリシーのバインド]で[クリックして選択]をクリックして以前に作成した証明書ポリシーを選択します

11 前に作成した証明書ポリシーを選択し[ OK]をクリックします

12 [優先度]を 100に設定し[バインド]をクリックします後続の順で LDAP認証ポリシーを設定する場合は同じプライオリティ番号を使します

13 [ LDAPポリシー]ので[ gt]をクリックします

14 ポリシーを選択し「編集」ドロップダウンメニューから「バインディングの編集」をクリックします

15 証明書ポリシーに指定したのと同じ [優先度]値をします［バインド］をクリックします


17 [詳細設定]の [SSLパラメータ]をクリックします

18 [クライアント認証]チェックボックスをオンにし[クライアント証明書]から [必須]を選択し[ OK ]をクリックします


Citrix ADC証明書失効リスト (CRL)

Citrix Endpoint Managementではサードパーティの認証局に対してのみ証明書失効リスト（CRL）がサポートされますMicrosoft CAを構成している場合Citrix Endpoint Managementは Citrix ADCを使して失効を管理しますクライアント証明書ベースの認証を構成する場合はCitrix ADC証明書失効リスト（CRL）設定の「CRL動更新を有効にする」を構成する必要があるかどうかを検討しますこの順を使するとMAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使して認証できなくなりますCitrix Endpoint Managementでは新しい証明書が再発されますこれはユーザーが失効した場合にユーザー証明書を成できないためですこの設定はCRLが期限切れの PKIエンティティを確認する場合PKIエンティティのセキュリティを強化します


Citrix Gateway 130


CloudBridgeによるネットワークトラフィックの最適化

March 26 2020

ユーザーが Citrix Gatewayプラグインを使してログオンする場合CloudBridgeプラグインを使して接続を最適化できますこのプラグインはCloudBridgeからユーザーデバイスにインストールされますCloudBridgeプラグインを使して接続が最適化されるとネットワークトラフィックは Citrix Gatewayを介して圧縮され速化されます接続で CloudBridgeを有効にするとCitrix Gatewayの TCP圧縮ポリシーが無効になります

CloudBridgeプラグインがデプロイされCitrix Gatewayプラグインと連動します

Citrix Gatewayはリピータープラグインのバージョン 55および 61とCloudBridgeプラグインのバージョン62および 70をサポートしています

CloudBridgeの最適化とフロー制御は動的なコンテンツ変更を必要とする Citrix Gatewayの最適化機能よりも優先されますHTTPトラフィックに対して CloudBridge最適化が有効になっている場合次の Citrix Gateway機能は使できません

bull Webアプリケーションへのシングルサインオンbull ファイルタイプの関連付けbull ウェブ認証

Webアプリケーションへのシングルサインオンを許可するにはHTTPでアクセラレーションを無効にしますこれをうにはコマンドラインを使しますCitrix Gatewayシリアルコンソールにログオンしコマンドプロンプトで次のようにします

add vpn trafficAction ssoact http -SSO ON

Citrix Gatewayで設定された HTTPポート宛てのネットワークトラフィックはCloudBridgeの最適化から動的に除外されますこれがデフォルトの設定ですHTTPポートで CloudBridge最適化のトラフィックポリシーを設定するとトラフィックポリシーが適されネットワークトラフィックは CloudBridgeによって最適化されますただしCitrix Gatewayの最適化機能はそのポリシーの影響を受けるすべてのトラフィックに対して無効になりますCloudBridgeは他の Citrix Gateway機能に影響を与えることなく HTTPポート宛てのネットワークトラフィックを速化できます

トラフィックポリシーを使してCloudBridgeプラグインを使するようにユーザー接続を設定しますその後ポリシーをユーザーグループ仮想サーバーまたはグローバルにバインドできますポリシーはポリシーをバインドする場所に基づいてまたはポリシーに付与された優先順位番号に基づいて優先順位付けされます


Citrix Gateway 130

トラフィックポリシーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [ブランチリピーター]で [オン]を選択し[作成]をクリックします7 [トラフィックポリシーの作成]ダイアログボックスの [式の追加]の横でCloudBridgeアクセラレーションを有効にするトラフィックタイプを表す式を選択またはします[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします

式を追加するときはCloudBridgeが速化するように設定されているのと同じ IPアドレスとポート範囲を使するネットワーク式を選択しますCloudBridgeアクセラレーションを実するにはCitrix Gatewayで設定されたトラフィックの種類がCloudBridgeで設定されたサービスクラスポリシーと致している必要があります

すべての TCPトラフィックはCloudBridgeアクセラレーションの恩恵を受けていますシングルサインオンの使を計画している場合はアクセラレーションによってシングルサインオンが無効になるためHTTPトラフィックを加速しないでください


Gateway UX設定での RfWebUIパーソナ

March 26 2020

RfWebUIペルソナはCitrix Gatewayを介してログオンする Citrix Gatewayユーザーのための新しいログオンとポータルページを提供するテーマですポータルではReceiverStorefrontおよび Citrix EndpointManagementユーザーにこれらの製品に直接アクセスする場合と同じ GUIが提供されます

RfWebUIペルソナを使するタイミング

Citrix Gatewayの RfWebUIペルソナはWebアプリケーションや SaaS（サービスとしてのソフトウェア）アプリケーション仮想Windowsアプリケーションデスクトップなど異なる CITRIX製品で提供されるすべてのアプリケーションを単のウィンドウで表する必要がある場合に使します

次のシナリオはRfWebUIペルソナの使法をしています

bull ユーザーが Gatewayを使して StorefrontにアクセスするとGatewayを使せずに製品にアクセスしたときに表される GUIとは異なる GUIが検出されます


Citrix Gateway 130

解決策ユーザーが Gatewayを使して StorefrontにアクセスするとRfWebUIテーマはGatewayを使せずに製品にアクセスしたときと同様のユーザーインターフェイスを提供します

bull ユーザーはGateway を使して Citrix Workspace アプリStorefrontおよび Citrix EndpointManagementアプリケーションにアクセスしアプリケーションが論理的にグループ化されないため的のアプリケーションの検索に苦労します解決策 RfWebUIペルソナはReceiverStorefrontCitrix Endpoint Managementなどの異なる製品によって提供されるアプリケーションの論理的なバンドルを作成することで単のペインビューのユーザーエクスペリエンスを提供します

RfWebUIペルソナが提供する機能

新しい RfWebUIには次の機能があります

bull 移動bull アプリケーションの集約bull ユーザー設定の RDPプロキシリンクbull お気にりのアプリケーション

移動

GO Go機能はクリントレス VPN（CVPN）を介してWebページへのアクセスを提供しますユーザーは[ブックマーク]タブの [URL]セクションに URLをし[ GO ]をクリックします

現在GO機能ではOutlook Webアプリケーション (OWA)と SharePointの URLのみがサポートされています

注[ GO]タブはセッションポリシーの clientlessAccessVPNModeパラメーターが [有効]である場合にのみ表されます

アプリケーションの集約

アプリケーションの集約 RfWebUIテーマは説明バナーの下に異なる製品によって提供されるアプリケーションをバンドルすることにより単ペインビューを提供しますたとえばCitrix ADC管理者が設定したすべてのVPN URLはWebアプリケーションおよび SaaSアプリケーションという名前のバンドルに含まれておりユーザー固有のWebブックマークは「個ブックマーク」の下にありますStoreFrontで Citrix Virtual Apps andDesktopsアプリケーションバンドルが構成されている場合Citrix Gatewayの単ペインビューにもこれらのバンドルが表されます


Citrix Gateway 130

ユーザ設定の RDPプロキシリンク

ユーザーはリモートデスクトッププロトコル (RDP)プロキシリンクを個ブックマークとして追加できます個ブックマークが [デスクトップ]タブに表されます

次の RDPモードがサポートされています

bull 単 Gatewaybull ステートレス（デュアル）Gateway

注RDPプロキシリンクを追加できるのはRDPクライアントプロファイルが構成されている場合のみですRDP構成の詳細についてはRDPプロキシのドキュメントを参照してください

お気にりのアプリケーション

ユーザーはアプリケーション名の横にある [お気にりに追加]リンクをクリックして[ Webおよび SaaSアプリケーション]の下および [お気にり]タブに個ブックマークにリストされている的のアプリケーションを追加できます度追加されたアプリケーションは[ お気にり]タブの下にることができます同じことは[お気にり]タブ内のアプリケーションの横にある REMOVEリンクをクリックして[お気にり]タブから削除することができます

RfWebUIペルソナを有効にする際の考慮事項

RfWebUIペルソナでは次の機能が完全にはサポートされていません

ファイル共有機能 SMBファイル共有にアクセスするためのファイル共有機能はサポートされていませんメールホーム［メールホーム］VPNパラメーターはCitrix Gatewayポータルの埋め込みビューとして使できませんこれはRfWebUIの APPSタブの下にあるWebおよび SaaSアプリバンドル内のアプリケーションとしてアクセスすることができますJavaクライアント SSLトンネルを確するためのブラウザベースの Javaクライアントはこのテーマでは使できません

RfWebUIペルソナの設定

RfWebUIペルソナを適するには

1 Citrix ADCインターフェイスで［構成］gt［Citrix Gatewayポータルのテーマ］に移動します2 [ポータルのテーマ]ページで[ RfWebUI ]チェックボックスを選択します3 ポータルテーマページの右上隅にある「保存」アイコンをクリックします4 [保存の確認]ダイアログボックスで[はい]をクリックします


Citrix Gateway 130


RDPプロキシ

March 26 2020

Citrix Gatewayによる RDPプロキシの概要と機能拡張

以下の RDPプロキシ機能を使するとCitrix Gateway経由でリモートデスクトップファームにアクセスできます

bull CVPNまたは ICAプロキシモード（フルトンネルなし）を介して RDPトラフィックを保護します

bull Citrix Gatewayを介して RDPサーバーへのシングルサインオン（SSO）また必要に応じて SSOを無効にするオプションも意されています）

bull 適（SmartAccess）機能Citrix ADC管理者はCitrix Gateway構成を通じて特定の RDP機能を無効にできます

bull すべてのニーズに対応するシングルステートレス（デュアル）Gatewayソリューション（VPNICARDPC-itrix Endpoint Management）

bull カスタムクライアントを必要とせずにRDPのネイティブWindows MSTSCクライアントとの互換性

bull Microsoftが提供する既存の RDPクライアントをMACOSXiOSAndroidで使する

導の概要

次の図は展開の概要をしています

RDPプロキシ機能はCitrix Gatewayの部として提供されます般的な展開ではRDPクライアントはリモートユーザーのマシンで実されますCitrix Gatewayアプライアンスは DMZ内に展開されRDPサーバーファームは社内ネットワークにありますリモートユーザーはCitrix Gatewayのパブリック IPアドレスに接続しSSLVPN接続を確し認証をいますその後ユーザーは Citrix Gatewayアプライアンスを介してリモートデスクトップにアクセスできます

RDPプロキシ機能はCVPNおよび ICAプロキシモードでサポートされています

注Citrix Gatewayはリモートデスクトップセッションホスト（RDSH）リモートアプリケーションRDSマルチユーザー RDPセッションをサポートしていません


Citrix Gateway 130

CVPNを介した配置

このモードではRDPリンクはGatewayのホームページまたはポータルにブックマークとして「Add vpnURL」構成を介してまたは外部ポータル経由で公開されますユーザーはこれらのリンクをクリックしてリモートデスクトップにアクセスできます

ICAプロキシによる展開

このモードではwihomeパラメーターを使してGateway VIPにカスタムホームページが設定されますこのホームページはユーザーがアクセスできるリモートデスクトップリソースの覧を使してカスタマイズできますこのカスタムページはCitrix ADCでホストできます外部の場合は既存の Gatewayポータルページの iFrameにすることができます

どちらのモードでもプロビジョニングされた RDPリンクまたはアイコンをクリックすると対応するリソースに対する HTTPSリクエストが Citrix Gatewayに到着しますGatewayは要求された接続の RDPファイルのコンテンツを成しクライアントにプッシュしますネイティブ RDPクライアントが呼び出されGateway上のRDPリスナーに接続しますGatewayは適（SmartAccess）をサポートすることによりRDPサーバーへのSSOを実しますSmartAccessではCitrix ADC構成に基づいてゲートウェイが特定の RDP機能へのクライアントアクセスをブロックしRDPクライアントとサーバー間の RDPトラフィックをプロキシします

強制の詳細

Citrix ADC管理者はCitrix Gateway構成を使して特定の RDP機能を設定できますCitrix Gatewayでは重要な RDPパラメーターに対して「RDP強制」機能が提供されますCitrix ADCはクライアントがブロックされたパラメータを有効にできないようにしますブロックされたパラメータが有効になっている場合RDP強制機能はクライアント対応パラメータよりも優先されこれらのパラメータは考慮されません

適でサポートされる RDPパラメータ

次のリダイレクションパラメータの適がサポートされていますこれらはRDPクライアントプロファイルの部として構成できます

bull クリップボードのリダイレクト

bull プリンタのリダイレクト

bull ディスクドライブのリダイレクト

bull COMポートのリダイレクト

bull pnpデバイスのリダイレクト


Citrix Gateway 130

接続フロー

接続フローは次の 2つのステップに分けることができます

bull RDPリソースの列挙と RDPファイルのダウンロード

bull RDP接続の起動

上記の接続フローに基づいて2つの展開ソリューションがあります

bull ステートレス（デュアル）Gatewayソリューション-RDPリソースの列挙と RDPファイルのダウンロードはオーセンティケータ Gatewayを介してわれますがRDP接続の起動は RDPリスナー Gatewayを介してわれます

bull 単 Gatewayソリューション-RDPリソース列挙RDPファイルのダウンロードおよび RDP接続の起動は同じ Gatewayを介してわれます

ステートレス（デュアル）Gateway互換性

次の図は展開をしています

bull ユーザはオーセンティケータゲートウェイ VIPに接続しクレデンシャルを提供します

bull Gatewayへのログインに成功するとユーザーはホームページまたは外部ポータルにリダイレクトされユーザーがアクセスできるリモートデスクトップリソースが列挙されます

bull ユーザーが RDP リソースを選択するとユーザーがクリックした公開リソースをす形式httpsvserver-viprdpproxyrdptargetlistenerでオーセンティケータゲートウェイ VIPによって要求が受信されますこの要求にはユーザーが選択した RDPサーバーの IPアドレスとポートに関する情報が含まれます

bull rdpproxy要求はオーセンティケータゲートウェイによって処理されますユーザーはすでに認証されているためこのリクエストには有効な Gatewayクッキーが付属しています

bull RDPTargetおよび RDPUser情報は STAサーバーに格納されSTAチケットが成されますSTAサーバに保存された情報は構成済みの事前共有キーを使して暗号化されますオーセンティケータ GatewayはGateway仮想サーバ上に構成されている STAサーバの 1つを使します

bull rdpproxy要求で取得された「リスナー」情報は「fulladdress」としてrdpファイルに格納されSTAチケット（STA認証 IDが先頭に付属）は「loadbalanceinfo」としてrdpファイルに格納されます

bull rdpファイルはクライアントエンドポイントに送り返されます

bull ネイティブ RDPクライアントが起動しRDPListener Gatewayに接続しますSTAチケットを初期パケットで送信します

RDPListener GatewayはSTAチケットを検証しRDPTargetおよび RDPUserの情報を取得します使する STAサーバーはロードバランス情報に存在する lsquoAuthIDrsquoを使して取得されます


Citrix Gateway 130

シングル Gatewayの互換性


単 Gateway配置の場合STAサーバーは必要ありませんオーセンティケータ GatewayはRDPTargetとCitrix ADC AAAセッション Cookieを安全にエンコードしrdpファイルに負荷分散情報として送信しますRDPクライアントが最初のパケットでこのトークンを送信するとオーセンティケータ Gatewayは RDPTarget情報をデコードしセッションを検索して RDPTargetに接続します

RDPプロキシのライセンス要件

プレミアムエディションアドバンスエディション

注 Gatewayプラットフォームライセンスのみまたは標準エディションのみをお持ちのお客様にはRDPProxy機能をご利いただけません

RDPプロキシが機能するにはRDPプロキシ機能を有効にする必要があります

1 enable feature rdpProxy

構成の順

構成順の概要は次のとおりです

1 機能の有効化2 Gatewayポータルでブックマークを作成するかRDPリソースを列挙するカスタマイズされた Gatewayポータルを使する

3 RDPクライアントプロファイルの構成4 RDPサーバープロファイルの構成

必要な機能とモードを有効にする

bull enable ns feature ssl

bull enable ns feature sslvpn

bull enable ns feature rdpproxy

bull enable mode usnip

ブックマークの作成

1 RDPリソースにアクセスするためにポータルページにブックマークを作成します (actualURLは rdp で始まります)


Citrix Gateway 130

2 vpn url lturlNamegt ltlinkNamegt ltactualURLgtの追加

bull URLは次の形式である必要がありますrdpltTargetIPPortgt

bull ステートレス RDP プロキシモードの場合URL は次の形式である必要がありますrdpltTargetIPPortgtltListenerIPPortgt

bull URLは次の形式でポータルに公開されますhttpsltVPN-VIPgtrdpproxyltTargetIPPortgthttpsltVPN-VIPgtrdpproxyltTargetIPPortgtltListenerIPPortgt

3 ブックマークをユーザグループまたは vpn仮想サーバまたは vpnグローバルにバインドします

クライアントプロファイルの設定

オーセンティケータ Gatewayでクライアントプロファイルを設定します次に設定例をします

1 add rdpClient profile ltnamegt [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook ltkeyboardHookgt] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk ltstringgt] [-rdpCookieValidity ltpositive_integergt] [-rdpCustomParams ltstringgt] [-rdpFileName ltstringgt] [-rdpHost ltoptional FQDN that will be put inthe RDP file as lsquo fulladdressgt] [-rdpUrlOverride ( ENABLE | DISABLE)] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts (ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE| DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

RDPクライアントプロファイルを vpn vserverに関連付けます

これはsessionAction+sessionPolicyを設定するかグローバル vpnパラメータを設定することによって実できます

例

add vpn sessionaction ltactnamegt -rdpClientprofile ltrdpprofilenamegt

add vpn sessionpolicy ltpolnamegt NS_TRUE ltactnamegt

bind vpn vserver ltvservernamegt -policy ltpolnamegt -priority ltprioritynumbergt

または

set vpn parameter ‒rdpClientprofile ltnamegt

サーバプロファイルの設定

リスナー Gatewayでサーバープロファイルを設定します


Citrix Gateway 130

bull add rdpServer Profile ltprofilenamegt -rdpIP ltIPV4 address of the RDPlistenergt -rdpPort ltport for terminating RDP client connectionsgt -psk ltkey to decrypt RDPTargetRDPUser information needed while using STAgt

rdpServerプロファイルは「vpn仮想サーバー」で構成する必要があります

bull add vpn vserver v1 SSL ltpublicIPgt ltportforterminatingvpnconnectionsgt -rdpServerProfile ltrdpServer Profilegt

構成例

bull 必要な機能とモードを有効にする

ndash enable ns feature ssl

ndash enable ns feature sslvpn

ndash enable ns feature rdpproxy

ndash enable mode usnip

bull ターゲット情報を持つユーザーの VPN URLを追加する

1 add aaa user Administrator ‒ password freebsd123$^23 add vpn url rdp RdpLink rdprdpserverinfo45 add dns addrec rdpserverinfo 1010214713267 bind aaa user Administrator ‒ urlName rdp

bull VPN接続の RDPクライアントとサーバープロファイルを構成する

1 add rdp clientprofile p1 ‒ psk citrix -redirectClipboard ENABLE23 add rdp serverprofile p1 -rdpIP 10102147134 -psk citrix45 add vpn vserver mygateway SSL 10102147134 443 ‒

rdpserverprofile p167 set vpn parameter -clientlessVpnMode ON -

defaultAuthorizationAction ALLOW -rdpClientProfileName p189 add ssl certKey gatewaykey -cert rdp_rootcertpem -key

rdp_rootkey1011 bind ssl vserver mygateway -certkeyName gatewaykey


Citrix Gateway 130

bull Citrix ADCからターゲットに接続するための SNIPを追加

1 add ns ip 10102147135 2552552550 ‒ type SNIP

SSOを無効にするオプション

RDPプロキシを使した SSO（シングルサインオン）機能はCitrix ADCトラフィックポリシーを構成することで無効にできますこれによりユーザーは常に資格情報のを求められますSSOが無効になっているとRDPの適 (SmartAccess)が機能しません

設定例

1 add vpn trafficaction ltTrafficActionNamegt HTTP -SSO OFF

トラフィックポリシーは要件に従って設定できます次に2つの例をします

bullすべてのトラフィックの SSOを無効にするには次の順を実します

1 add vpn trafficpolicy ltTrafficPolicyNamegt rdquourl contains rdpproxyrdquo ltTrafficActionNamegt

bull送信元宛先 IPFQDNに基づいて SSOを無効にするには

1 add vpn trafficPolicy ltTrafficPolicyNamegt rdquoREQHTTPURL CONTAINSrdpproxy ampamp REQIPSOURCEIP == ltIPFQDNgtrdquo ltTrafficActionNamegt bindvpnvserver rdp -policy ltTrafficActionNamegt

単リスナーのサポート

bull RDPトラフィックと SSLトラフィックの両に対する単リスナー

bull RDPファイルのダウンロードと RDPトラフィックはCitrix ADC上の同じ 2タプル（IPとポート）を介して処理できます

ブックマーク

ポータル経由の RDPリンク成ユーザーの RDPリンクを構成したり外部ポータル経由で RDPリンクを公開したりする代わりにtargerIP Portを指定することでユーザーに独の URLを成するオプションを与えることができますステートレス RDPプロキシ展開の場合管理者は RDPクライアントプロファイルの部としてFQDNポート形式で RDPリスナー情報を含めることができますこれはrdpListenerオプションの下でわれますこの構成はデュアル Gatewayモードでポータルを介した RDPリンク成に使されます


Citrix Gateway 130

RDPプロキシの設定

RDPプロキシを設定するには次の順を実します

1［Citrix Gateway］を展開し［ポリシー］を展開し［RDP］を右クリックして［機能を有効にする］をクリックします

2 左側の [RDP]をクリックします右側の [クライアントプロファイル]タブに切り替えて[追加]をクリックします

3 クライアントプロファイルに名前を付け必要に応じて構成します下にスクロールする

4［RDPホスト］フィールドにRDPプロキシリスナーに解決する FQDNをしますこれは通常CitrixGatewayアプライアンスの FDQNと同じ FQDNです

5 下部付近には事前共有キーがありますパスワードをし[ OK]をクリックしますこれは後で必要になります

6 サーバプロファイルに名前を付けます

7 これをバインドする Gateway仮想サーバーの IPアドレスをします

8 RDPクライアントプロファイルに設定したのと同じ事前共有キーをします［作成］をクリックします

9 クライアントレスアクセスのポータルページに RDP ブックマークを配置する場合は左側で［CitrixGateway］［リソース］［ブックマーク］の順に展開します

10 右側の [追加]をクリックします

11 ブックマークに名前を付けます

12 URLには「rdp IPまたは DNSを使してMyRDPサーバ」とします

13［Citrix Gatewayをリバースプロキシとして使］の横にあるチェックボックスをオンにし［作成］をクリックします

14 必要に応じてさらにブックマークを作成します

15 セッションプロファイルまたはポリシーを作成または編集します

16 [セキュリティ]タブで[既定の承認操作]を [許可]に設定しますまたは承認ポリシーを使してアクセスを制御することもできます

17 [リモートデスクトップ]タブで前に作成した RDPクライアントプロファイルを選択します

18 ブックマークを使する場合は[クライアントエクスペリエンス]タブで[クライアントレスアクセス]を[オン]に設定します

19 [公開アプリケーション]タブでICAプロキシがOFFになっていることを確認します

20 Gateway仮想サーバーを変更または作成します

21 [基本設定]セクションで[詳細]をクリックします


Citrix Gateway 130

22 RDPサーバープロファイルリストを使して前に作成した RDPサーバープロファイルを選択します

23 下にスクロールします[ ICAのみ]がオフになっていることを確認します

24 証明書をバインドします

25 バインド認証ポリシー

26 RDPクライアントプロファイルが設定されているセッションポリシープロファイルをバインドします

27 ブックマークはCitrix Gateway仮想サーバーまたは Citrix ADC AAAグループにバインドできますCitrixGateway仮想サーバーにバインドするには右側の［詳細設定］セクションで［公開アプリケーション］をクリックします

28 左側の [公開アプリケーション]セクションで[ URLなし]をクリックします

29 ブックマークをバインドします

30 この Citrix Gateway仮想サーバーには ICAのみが指定されていないためCitrix Gatewayユニバーサルライセンスが正しく構成されていることを確認してください左側で Citrix Gatewayを展開し［グローバル設定］をクリックします

31 右側の [認証 AAA設定の変更]をクリックします

32 [最ユーザー数]をライセンス制限に変更します

33 DNSを使して RDPサーバーに接続する場合はアプライアンスで DNSサーバーが設定されていることを確認します（トラフィック管理 gt DNS gtネームサーバー）

34 FQDN の代わりに短い名前を使する場合はDNS サフィックスを追加します ([トラフィック管理] gt[DNS] gt [DNSサフィックス])

35 Gatewayに接続してログオンします

36 ブックマークを設定した場合はブックマークをクリックします

37 アドレスバーを rdpproxyMyRDPServerに変更することができますIPアドレス (例rdpproxy192168150)または DNS名 (rdpproxymyserver)をできます

38 ダウンロードしたrdpファイルを開きます

39 Citrix Gatewayポリシー］gt［RDP］の順に選択して現在接続しているユーザーを表できます右側は [ 接続]タブです


ステートレス RDPプロキシ

March 26 2020


Citrix Gateway 130

ステートレス RDPプロキシはRDPホストにアクセスしますユーザーが別の Citrix Gatewayオーセンティケータで認証をうとCitrix Gateway上の RDPListenerによってアクセスが許可されますCitrix GatewayのRDPListenerに必要な情報はSTAサーバーに安全に保存されます

ここではこの機能に作成されたフローノブと新しいノブについて説明します

前提条件

bull ユーザーは Citrix Gateway認証システム上で認証されます

bull 最初の rdpproxy URLおよび RDPクライアントは別の RDPListener Citrix Gatewayに接続されています

bull RDPListener Gateway情報はSTAサーバを使してオーセンティケータゲートウェイによって安全に渡されます

構成

bull 新しい rdpServer プロファイルを追加しますサーバプロファイルはRDPListener Gateway上で構成されます

1 add rdpServer Profile [profilename] -rdpIP [IPV4 address of theRDP listener] -rdpPort [port for terminating RDP clientconnections] -psk [key to decrypt RDPTargetRDPUserinformation needed while using STA]

ステートレス RDPプロキシの場合STAサーバーはRDPクライアントから送信される STAチケットを検証してRDPターゲットRDPUser情報を取得します

rdpServerプロファイルは次のコマンドを使して vpn仮想サーバ上で設定します

1 add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServerProfile]

警告rdpServerProfileが仮想サーバ上で構成されると変更することはできませんまた同じ server-Profileを別の vpn仮想サーバで再利することはできません

rdpプロファイルコマンドの名前が rdpClientプロファイルに変更され新しいパラメータが追加されましたマルチモニターサポートコマンドが追加されましたまたRDPクライアントプロファイルの部としてサポートされていないカスタムパラメータを設定するオプションが追加されました接続は常にセキュリティで保護されているためclientSSLパラメータが削除されましたクライアントプロファイルはオーセンティケータ Gatewayで設定されます


Citrix Gateway 130

1 add rdpClient profile ltnamegt -rdpHost ltoptional FQDN that will be putin the RDP file as lsquo fulladdressrsquo gt [-rdpUrlOverride ( ENABLE |DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]

23 [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook lt

keyboardHookgt] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

45 [-rdpCookieValidity ltpositive_integergt][-multiMonitorSupport (

ENABLE | DISABLE )] [-rdpCustomParams ltstringgt] mdash rdpHost構成は単の Gateway展開で使されます

bull RDPプロファイルを vpn仮想サーバに関連付けます


例

1 add vpn sessionaction ltactnamegt -rdpClientprofile ltrdpprofilenamegt23 add vpn sessionpolicy ltpolnamegt NS_TRUE ltactnamegt45 bind vpn vserver ltvservernamegt -policy ltpolnamegt -priority lt

prioritynumbergt67 または89 set vpn parameter ‒ rdpClientprofile ltnamegt

接続カウンタ

新しい接続カウンタ ns_rdp_tot_curr_active_connが追加されましたこのカウンタは使中のアクティブな接続数の記録を保持しますこれはNetScalerシェル上の nsconmsgコマンドの部としてることができます後でこのカウンタを表する新しい CLIコマンドを提供します

接続フロー

RDPプロキシフローには 2つの接続があります最初の接続はCitrix Gateway VIPへのユーザーの SSL VPN接続でありRDPリソースの列挙です


Citrix Gateway 130

2番の接続はCitrix Gateway上の RDPリスナーへのネイティブ RDPクライアント接続（rdpIPと rdpPortを使して構成）でありその後 RDPクライアントからサーバーパケットへのセキュアなプロキシです

1 ユーザはオーセンティケータゲートウェイ VIPに接続しクレデンシャルを提供します

2 Gatewayへのログインに成功するとユーザーはホームページ外部ポータルにリダイレクトされユーザーがアクセスできるリモートデスクトップリソースを列挙します

3 ユーザーが RDP リソースを選択するとユーザーがクリックした公開リソースhttpsAGVIPrdpproxyipportrdptargetproxyをす形式でオーセンティケータゲートウェイ VIPによって要求が受信されますこの要求にはユーザーが選択した RDPサーバーの IPおよびポートに関する情報が含まれます

4 rdpproxy要求はオーセンティケータゲートウェイによって処理されますユーザーはすでに認証されているためこのリクエストには有効な Gatewayクッキーが付属しています

5 RDPTargetおよび RDPUser情報は STAサーバーに格納されSTAチケットが成されます情報は XMLBLOBとして保存されますXML BLOBは設定済みの事前共有キーを使してオプションで暗号化されます暗号化されている場合BLOBは base64でエンコードされ保存されますオーセンティケータゲートウェイはGateway仮想サーバ上に構成されている STAサーバの 1つを使します

6 XML BLOBは次の形式になります

ltValue name=rdquoIPAddressrdquogtipaddrltValuegtnltValue name=rdquoPortrdquogtportltValuegtn

ltValue name=rdquoUsernamerdquogtusernameltValuegtnltValue name=rdquoPasswordrdquogtpwdltValuegt

7 rdpproxyリクエストで取得した「rdptargetproxy」は「フルアドレス」として配置されSTAチケット（STA認証 IDの前に付加される）はrdpファイルの「ロードバランス情報」として配置されます

8 rdpファイルはクライアントエンドポイントに送り返されます

9 ネイティブ RDP クライアントが起動しRDPListener Gateway に接続しますSTA チケットを最初のx224パケットで送信します

10 RDPListener GatewayはSTAチケットを検証しRDPTargetおよび RDPUserの情報を取得します使する STAサーバーはロードバランス情報に存在する lsquoAuthIDrsquoを使して取得されます

11 Gatewayセッションは認可監査ポリシーを保存するために作成されますそのユーザーのセッションがすでに存在する場合そのセッションは再利されます

12 RDPListener Gatewayは RDPTargetに接続しCREDSSPを使してシングルサインオンします


RDPファイルが rdpproxyrdptargetrdptargetproxy URLを使して成される場合はSTAチケットが成されますそうでない場合はセッションを直接参照する lsquoloadbalanceinforsquoの現在のメソッドが使されます


Citrix Gateway 130

単の Gateway展開の場合rdpproxy URLはオーセンティケータゲートウェイ体に送信されますSTAサーバは必要ありませんオーセンティケータ GatewayはRDPTargetおよび AAAセッションクッキーを安全にエンコードしこれをrdpファイル内の「loadbalanceinfo」として送信しますRDPクライアントが x224パケットでこのトークンを送信するとオーセンティケータ Gatewayは RDPTarget情報をデコードしセッションを検索して RDPTargetに接続します

アップグレードに関する注意事項

以前の構成はこの新しいリリースでは機能しませんこれはvpn vserver上で以前に構成されていたパラメータrdpIPおよび rdpPortが rdpServerProfileの部になるように更新されrsquordpプロファイル lsquoの名前が lsquordpクライアントプロファイルrsquoに変更され古いパラメータ clientSSLが削除されているためです

RDPサーバープロファイルの作成

1 Citrix Gateway gt［ポリシー］gt［RDP］の順に選択します

2「サーバープロファイル」タブに移動し「追加」をクリックします

3 RDPサーバープロファイルを作成するには次の情報をします

RDPクライアントプロファイルの構成

1 Citrix Gateway gtポリシー gtRDPに移動します

2 [クライアントプロファイル]タブに移動し[追加]をクリックします

3 RDPサーバープロファイルを構成するには次の情報をします

仮想サーバーのセットアップ


2 [追加]をクリックして新しい RDPサーバーを作成します

3 この [基本設定]ページのデータをし[ OK]をクリックします

4 鉛筆をクリックしてページを編集します



Citrix Gateway 130

RDP接続リダイレクト

March 26 2020

Citrix Gatewayアプライアンスは接続ブローカーまたはセッションディレクトリの存在下で RDP接続リダイレクトをサポートするようになりましたRDPプロキシ通信ではクライアントからサーバーへのすべての接続に排他的な URLが必要なくなりました代わりにプロキシは単の URLを使して RDPサーバーファームに接続するため管理者のメンテナンスと構成のオーバーヘッドが軽減されます

注意点

bull RDP接続リダイレクトはSSOが有効になっている場合にのみサポートされシングル Gatewayモードステートレスモードデュアル Gatewayモードエンフォースメント（Smart Access）の両でサポートされます

bull RDPプロキシ機能はIPクッキーをサポートするトークンベースのリダイレクトでのみサポートされますIPベースのルーティングトークン「msts=」は「IPアドレスリダイレクトを使する」機能が無効になっているとWindowsセッションブローカーまたは接続ブローカーによって引き渡されます

bull RDPプロキシ接続の専リダイレクタを構成できます

接続ブローカの存在下で RDPProxyを展開する

接続ブローカが存在する RDPProxyは次の 2つの法で展開できます

bull RDセッションホストサーバーが RD接続ブローカーの負荷分散に参加している場合bull RDPロードバランシング機能が存在する場合

RD接続ブローカーの負荷分散に参加する RDセッションホストサーバーの場合

この場合RDP URLリンクはリダイレクタとして機能する宛先サーバーとして RDPサーバーの 1つを指すように構成できますまたファーム内の RDPサーバーの 1つを宛先サーバーとして持つことも可能です（この場合サーバーは RDPセッションを受け付けません）詳細についてはリモートデスクトッププロトコル (RDP)サーバーの負荷分散を参照してください

RDPロードバランシング機能が存在する場合

接続ブローカーの負荷分散が有効になっていない場合我々は接続ブローカーの存在下で RDPセッションの必要な負荷分散をうためにCitrix ADC上で利可能な RDP負荷分散機能を持つことができますこの場合RDP URLリンクはRDPロードバランサーを宛先サーバーとして設定する必要がありますRDPロードバランサーはRDPプロキシと同じ Citrix Gatewayアプライアンス上に配置できます詳細についてはロードバランシング rdpサーバを参照してください

注


Citrix Gateway 130

接続ブローカーの存在下で RDPProxyをサポートするにはCitrix Gatewayで RDP接続リダイレクトを有効にする必要があります

接続ブローカの存在下で RDPProxyを構成する

コマンドラインインターフェイスを使して RDP接続リダイレクトを構成するにはコマンドプロンプトで次のようにします

1 add rdpserverprofile ltNamegt -psk ltstringgt -rdpRedirection ( ENABLE| DISABLE )

23 add rdpserverprofile serverProfileName -psk ldquo secretStringrdquo -

rdpRedirection ENABLE

Citrix ADC GUIを使して RDP接続リダイレクトを構成するには

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 RDPを右クリックして RDPリダイレクト機能を有効または無効にします


LDAP属性に基づいて RDP URLを設定する

March 26 2020

LDAPサーバー属性から RDPサーバー（IPFQDN）のリストを取得するように Citrix Gatewayアプライアンスを構成できます取得したリストに基づいてアプライアンスは特定のユーザーがアクセスするサーバーの RDP URLを表します

LDAP属性に基づく RDP URLの設定機能の構成

コマンドラインインターフェイスを使して LDAP属性に基づいて RDP URLを設定するにはコマンドプロンプトで次のようにします

1 add rdpclientprofile ltNamegt ‒ rdpUrlLinkAttribute ltstringgt

1 add rdpclientprofile clientProfileName ‒ rdpUrlLinkAttributerdpServerAttribute


Citrix Gateway 130

上記の例ではrdpServerAttributeはLDAPサーバー上の特定のユーザーの rdpサーバーの詳細に対応します

注LDAPサーバーから LDAP属性の詳細をフェッチするには次のように pUrlLinkAttributeで設定した字列と同じ字列で LDAPアクションを設定する必要があります

1 add authentication ldapAction dnpg_ldap -serverIP ltIP addressgt-ldapBase ltrdquodomain namerdquogt -ldapBindDn ltusernamegt -ldapLoginNamesAMAccountName -ldapbindDnpassword ltpasswordgt

1 dd authentication ldapAction dnpg_ldap -serverIP 1010239101 -ldapBase rdquodc=dnpg-blrdc=comrdquo -ldapBindDn sqladmindnpg-blrcom-ldapLoginName sAMAccountName -ldapbindDnpassword xxxx

1 add authentication ldapPolicy dnpg_ldap_pol ns_true dnpg_ldap

1 bind vpn vs vserverltnamegt -pol dnpg_ldap_pol23 set ldapaction dnpg_ldap -attributes rdquordpServerAttributerdquo45 set rdpclientprofile ldap -rdpLinkAttribute rdpServerAttribute

LDAPサーバで次の順を実します

1 特定のユーザーに移動します2 ADユーザーとコンピュータで[表]をクリックし[詳細]をクリックします3 ユーザ名を右クリックしアトリビュートエディタ (Attribute Editor)を選択します4 必要な属性 (displayName)の値を変更し[ OK]をクリックします

GUIを使して LDAP属性に基づいて RDP URLをするには次の順を実します

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 [ RDPプロファイルと接続]ページで[クライアントプロファイル]タブをクリックしRDPファイル名を設定するクライアントプロファイルを選択します

3 [ RDPクライアントプロファイルの構成]ページで[ RDPファイル名]フィールドにファイル名をします


RDPプロキシを使して RDPファイル名をランダム化する

March 26 2020


Citrix Gateway 130

RDP URLをクリックするとRDPファイルがダウンロードされますRDP URLを再度クリックすると同じ名前の新しい RDPファイルがダウンロードされ新しいファイルが既存のファイルに置き換えられるポップアップが表されますこれを避けるために管理者は rdpファイル名をランダム化することを選択できますファイル名は現在フォーマット ltrdpFileNamegt_ltoutputof time()gtrdpで time ()関数の出を追加することによってランダム化されていますこれによりアプライアンスはファイルをダウンロードするたびに意の RDPファイル名を成します

RDPプロキシによる RDPファイル名のランダム化のサポートの構成

コマンドプロンプトでコマンドラインインターフェイスを使して RDPプロキシで RDPファイル名をランダム化するためのサポートを構成するには次のようにします

1 add rdpclientprofile ltprofileNamegt -rdpfileName ltfilenamegt - randomizeRDPFilename ltYESNOgt

23 add rdpclientprofile clientProfileName -rdpfileName testRDP -

randomizeRDPFilename YES

Citrix ADC GUIを使して RDPプロキシを使して RDPファイル名をランダム化するためのサポートを構成するには

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 [ RDPプロファイルと接続]ページで[クライアントプロファイル]タブをクリックしRDPファイル名のランダム化機能を構成するクライアントプロファイルを選択します

3 [ RDPクライアントプロファイルの設定]ページで[ランダム化された RDPファイル名]フィールドの横のドロップダウンで [はい]を選択します


RDPアプリのファイル名を構成する

March 26 2020

RDPアプリをダウンロードするとアプリは設定されたファイル名でローカルに保存できます


CLIを使して RDPアプリケーションのファイル名を構成するにはコマンドプロンプトで次のようにします


Citrix Gateway 130

1 set rdpclientprofile ltNamegt -rdpfilename ltfilenamegtrdp

GUIを使して RDPアプリケーションのファイル名を構成するには

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 [ RDPプロファイルと接続]ページで[クライアントプロファイル]タブをクリックしますRDPファイル名のランダム化機能を構成するクライアントプロファイルを選択します

3 [ RDPクライアントプロファイルの構成]ページで[ RDPファイル名]フィールドに rdpプロファイルの名前をしますファイルの名前は次の形式である必要があります名前に使できる字数は最 31字です


Citrix Gatewayが VMwareホライゾンビューに対して PCoIPプロキシサポートを有効にしました

March 26 2020

Citrix Gateway 120はPC-over-IP（PCoIP）プロトコルをサポートしていますPCoIP（PC-over-IP）プロトコルはVMware Horizon Viewを含むいくつかの Citrix VDIソリューションのリモート表プロトコルですPCoIPはCitrix HDXICAプロトコルと Microsoft RDPプロトコルに類似していますPCoIPは UDPポート4172を使します

PCoIPがCitrix Gatewayを介してプロキシされる場合Citrix GatewayはViewセキュリティサーバや VMwareアクセスポイントなどの従来の PCoIPリモートアクセスソリューションを置き換えることができます

以下のシナリオはCitrix Gateway対応の VMWareHorizon Viewソリューションの使法をしています

bull VMware Horizon View セキュリティサーバまたは VMware アクセスポイントを展開せずにCitrixGatewayを介して VMware Horizon Viewデスクトッププールおよびアプリケーションプールにリモートでアクセスする必要がある VMware Horizon PCoIPユーザー

bull PCoIPユーザーはCitrix Gatewayを介して他の PCoIPベースの仮想デスクトップソリューションにリモートアクセスします

注

Citrix Gatewayはリモートアクセスソリューションとして展開されます



Citrix Gateway 130

VMWare Horizonビューの Citrix Gatewayが有効になっている PCoIPプロキシの構成

March 26 2020

前提条件

バージョン -Citrix ADC 120以降

ユニバーサルライセンス -PCoIPプロキシはCitrix Gatewayのクライアントレスアクセス機能を使しますつまりすべての Citrix Gateway接続に Citrix Gatewayユニバーサルのライセンスが必要ですCitrix Gateway仮想サーバーで「ICAのみ」がオフになっていることを確認します

Horizon Viewインフラストラクチャ -機能的な内部の Horizon ViewインフラストラクチャCitrix Gatewayを使せずに内部的に Horizon Viewエージェントに接続できることを確認しますCitrix ADCがプロキシ接続の接続先となる View接続サーバでHorizon View HTTP (S)セキュアトンネルと PCoIP Secure Gatewayが有効になっていないことを確認します以下のバージョンの VMware Horizonビューがサポートされています

bull 接続サーバ701以降bull Horizonクライアント420以降（WindowsおよびMac）

ファイアウォールポート

次の事項に留意してください

bull UDP 4172および TCP 443はホライゾンビュークライアントから Citrix Gateway VIPに対して開かれている必要があります

bull UDP 4172はCitrix ADC SNIPからすべての内部ホライゾンビューエージェントに対して開かれている必要があります

bull PCoIPプロキシはNATの背後に展開された Citrix ADCでサポートされています考慮すべき重要なポイントは次のとおりです

ndash サポートはVPN vServerの FQDNパラメータ設定に基づきますndash パブリックにアクセス可能な FQDNのみをサポートしIPはサポートしませんndash 443ポートおよび 4172ポートのみをサポートndash スタティック NATである必要があります

証明書mdash Citrix Gateway仮想サーバーの有効な証明書

認証クラシック構を使した LDAP認証ポリシーサーバ

Unified Gateway（オプション）Unified Gatewayの場合はPCoIP機能を追加する前に Unified Gatewayを作成します


Citrix Gateway 130

RfWebUIポータルのテーマmdash Horizon ViewへのWebブラウザーのアクセスではCitrix Gateway仮想サーバーを RfWebUIテーマで構成する必要があります

Horizon Viewクライアントmdash Citrix ADC RfWebUIポータルを使して Horizon公開アイコンにアクセスしている場合でもHorizon Viewクライアントをクライアントデバイスにインストールする必要があります

VMWare Horizonビューの PCoIPプロキシをサポートするように Citrix Gatewayを構成するには

1 Citrix ADC管理 GUIで［構成］gt［Citrix Gateway］gt［ポリシー］gt［PCoIP］の順に選択します

2 [PCoIPプロファイルおよび接続]ページでVServerプロファイルと PCoIPプロファイルを作成します

3 VServerプロファイルを作成するには[ VServerプロファイル]タブで [追加]をクリックします

a VServerプロファイルの名前をします

b View接続サーバへのシングルサインオンに使する Active Directoryドメイン名をし[作成]をクリックします

注Citrix Gateway仮想サーバーごとに1つの Active Directoryドメインのみがサポートされますまたここで指定したドメイン名が Horizon Viewクライアントに表されます

c [ログイン]をクリックします

4 PCoIPプロファイルを作成するには[プロファイル]タブで [追加]をクリックします

a PCoIPプロファイルの名前をします

b 内部 VMware Horizon View接続サーバの接続 URLをし[作成]をクリックします

5 ［設定］gt［Citrix Gateway］gt［ポリシー］gt［セッション］に移動します

6 右側の [セッションプロファイル]タブを選択します

7Citrix GatewayのセッションポリシーとプロファイルページでCitrix Gatewayセッションプロファイルを作成または編集します

a Citrix Gatewayセッションプロファイルを作成するには［追加］をクリックして名前を指定します

b Citrix Gatewayセッションプロファイルを編集するにはプロファイルを選択し「編集」をクリックします

8 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の値が [オン]に設定されていることを確認します

9 [セキュリティ]タブで[既定の承認操作]の値が [許可]に設定されていることを確認します

10 [ PCoIP ]タブで必要な PCoIPプロファイルを選択し[作成]をクリックしますこのタブから PCoIPプロファイルを作成または編集することもできます

11 「作成」または「OK」をクリックしてセッションプロファイルの作成または編集を終了します

12 新しいセッションプロファイルを作成した場合は対応するセッションポリシーも作成する必要があります

a ［設定］gt［Citrix Gateway］gt［ポリシー］gt［セッション］に移動します


Citrix Gateway 130

b 右側の [セッションポリシー]タブを選択します

c「追加」をクリックしセッションポリシーの名前を指定し「プロファイル」ドロップダウンから必要なセッションプロファイル名を選択します

d デフォルト構を使してセッションポリシーを作成する場合は「式」領域で「true」（引符なし）とし「作成」をクリックします注Unified Gatewayのデフォルトは「クラシック構」です

e クラシック構を使してセッションポリシーを作成する場合はまずクラシック構に切り替えるをクリックしてください次に[式]領域で「ns_true」(引符なし)とし[作成]をクリックします

13 作成した PCoIP VServerプロファイルとセッションポリシーを Citrix Gateway仮想サーバーにバインドします

aCitrix Gateway gt［仮想サーバー］の順に選択します

b 右側には新しい Citrix Gateway仮想サーバーを追加するか既存の Citrix Gateway仮想サーバーを編集します

c 既存の Citrix Gateway仮想サーバーを編集する場合は［基本設定］セクションで鉛筆アイコンをクリックします

d 追加と編集の両について[基本設定]セクションで [詳細]をクリックします

e [ PCoIP仮想サーバープロファイル]ドロップダウンを使して必要な PCoIP仮想サーバープロファイルを選択します

f 下にスクロールして[ICAのみ]がオフになっていることを確認します次に[ OK ]をクリックして [基本設定]セクションを閉じます

グラム新しい Citrix Gateway仮想サーバーを作成する場合は証明書をバインドしLDAP認証ポリシーをバインドします

h [ Policies ]セクションまで下にスクロールしプラスアイコンをクリックします

私「タイプの選択」ページのデフォルトは「セッションおよび要求」です［続］をクリックします

J [ポリシーのバインド]セクションで[クリックして選択]をクリックします

k PCoIPプロファイルが設定されている必要なセッションポリシーを選択し[ Select]をクリックします

l [ポリシーのバインド]ページで[バインド]をクリックします

m Webブラウザを使して VMware Horizon Viewに接続する場合は右側の [詳細設定]で [ポータルテーマ]セクションを追加しますCitrix Gatewayへの接続に Horizon Viewクライアントのみを使している場合はこの順を実する必要はありません

n [ポータルのテーマ]ドロップダウンを使して [ RfWebUI ]を選択し[ OK ]をクリックします

オーHorizon View公開アイコンが RfWebUIポータルに追加されます


Citrix Gateway 130

USBリダイレクトを有効にする順

クライアントマシンに接続されている USBデバイスには仮想デスクトップとアプリケーションからアクセスできますUSBリダイレクトを有効にする順は次のとおりです

1 VMware Horizon管理者コンソールにログインします2「インベントリ」gt「構成の表」gt「サーバー」に移動します3 [接続サーバ]タブを選択します4 表された接続サーバを選択し[ Edit]をクリックします5 [全般]タブで[ HTTP (S)セキュアトンネル]の [マシンへのセキュアトンネル接続を使する]オプションを選択します[外部 URL]フィールドに NSG外部 URLを指定します

Unified Gatewayのコンテンツスイッチング式の更新

Citrix Gateway仮想サーバーが Unified Gateway（コンテンツスイッチング仮想サーバー）の背後にある場合はコンテンツスイッチング式を更新してPCoIP URLパスを含める必要があります

1 Citrix ADC GUIで「設定」gt「トラフィック管理」gt「コンテンツスイッチング」gt「ポリシー」の順に選択します

2[式]領域の下に次の式を追加し[ OK ]をクリックします

httprequrlpatheq(ldquobrokerxmlrdquo)httprequrlpathcontains(ldquobrokerresourcesrdquo)httprequrlpatheq(ldquopcoip-clientrdquo)

httprequrlpathcontains(ldquoice-tunnelrdquo)

PCoIP Gatewayを使

1 接続するにはHorizon View Clientがクライアントデバイスにインストールされている必要がありますインストールが完了したらHorizon Viewクライアントのユーザーインターフェイスを使して Citrix Gatewayに接続するかCitrix Gateway RfWebUIポータルページを使してHorizonから公開されたアイコンを表できます

2 アクティブな PCoIP接続を表するにはCitrix Gateway gt［PCoIP］の順に選択します

3 右側の [接続]タブに切り替えますアクティブなセッションがユーザー名Horizon Viewクライアント IPおよび Horizon Viewエージェントの宛先 IPのデータとともに表されます

4 接続を終了するには[接続]タブを右クリックし[接続の切断]をクリックしますまたは[すべての接続を終了]をクリックしてすべての PCoIP接続を終了します



Citrix Gateway 130

VMware Horizon View接続サーバの構成

March 26 2020

Citrix Gateway経由で PCoIPプロキシをサポートするには

1VMware Horizon管理者コンソールにログインします

2[ I]-gt [ 設定の表]-gt [サーバー]に移動します

3 [接続サーバ]タブを選択します

4 表された接続サーバを選択し[ Edit]をクリックします

5 [全般]タブで[HTTP (S)セキュアトンネル]の [マシンへのセキュアトンネル接続を使する]オプションの選択を解除します

6 [ OK]をクリックして [接続サーバ設定の編集]ウィンドウを閉じます

7 覧表されたすべての接続サーバで4〜 6の順を実します


HDX対応のデータ転送サポート

March 26 2020

Citrix Gatewayの Enlightened Data Transport（EDT）のサポートによりCitrix Workspaceアプリを実しているユーザーに対して仮想デスクトップの精細なインセッションユーザーエクスペリエンスが保証されます

またCitrix Workspaceアプリと VDA間の EDT終了のための DTLS 10によるエンドツーエンドの暗号化も容易になりますDTLS設定の詳細についてはDTLSv10プロトコルのサポートをクリックしてください

EDT対応の Citrix GatewayはLANとWANの両の条件で優れたユーザーエクスペリエンスを提供しから他へのローミング時に管理やユーザー構成をいませんこの利点は中程度のパケット損失を伴う遅延ネットワークで最も顕著でありユーザーエクスペリエンスは般に代替案と遅れることになる

DTLS 12プロトコルのサポート

リリース 130ビルド 47x以降DTLS 12プロトコルは Citrix ADC VPXアプライアンスでサポートされていますVPN仮想サーバー VPXアプライアンスの enable_dtls12_vpn_vserver nsapimgrノブを使してDTLS 12を有効または無効にすることができます

デフォルトではDTLS 12は無効になっておりenable_dtls12_vpn_vserverノブは 0に設定されています


Citrix Gateway 130

DTLS 12を有効にするにはenable_dtls12_vpn_vserverノブを 1に設定しますノブ値を変更したらDTLSをオフにしノブを有効にするためのset vpn vserver ltvservernamegt dtls ltONOFFgtコマンドを使して再度オンに切り替えます

重要130ビルド 47x以降にアップグレードした後以前のリリースのビルドで DTLSを有効にしTLSv12暗号のみを使している場合はnsapimgrコマンドを使して DTLS 12を有効にすることをお勧めします


Enlightened Data Transportサポートを使するタイミング

April 9 2020

以下のシナリオはEDT対応の Citrix Gatewayの使法をしています

bull ユーザーはビジネスリソースにリモートアクセスしながらLAN環境と同じくらい優れたエクスペリエンスを求めています

bull ユーザーは輻輳いパケット損失および遅延のためにネットワークの品質が悪いWi-Fiおよびセルラーネットワーク上で豊富な仮想アプリケーションとデスクトップユーザーエクスペリエンスを必要としています

EDTを使している間以下の点に留意する必要があります

bull 仮想サーバーレベルの DTLSノブはデフォルトで有効になっていますbull DTLSを使した SNIはサポートされていませんbull DTLSを使した IPv6はサポートされていませんbull DTLSが有効になっている場合スマート制御ポリシーと ICAポリシーは機能しませんbull またReceiverと VDA間の EDTトラフィックに対してダブルホップ機能を使するようにアプライアンスを構成できるようになりました詳細についてはダブルホップ DMZでの展開をクリックしてください

注 EDTはリリース 121ビルド 49xx以降のMPX FIPSプラットフォームでサポートされていますインテル Coleto SSLチップベースのMPXデバイスではリリース 121ビルド 5116以降から EDTがサポートされます


EDTおよびHDX Insightをサポートするように Citrix Gatewayを構成

March 26 2020


Citrix Gateway 130

Gateway経由の EDTトラフィックはエンドツーエンドの可視性を持つようになりましたCitrix ADMはリアルタイムおよび履歴の両の可視性データを使できるためさまざまなユースケースをサポートできます

次のシナリオがサポートされています

シナリオ EDTサポート

Citrix Gateway はい

可性（HA）を備えた Citrix Gateway はい

可性（HA）最適化機能を備えた Citrix Gateway はい

Unified Gatewayを使する Citrix ADC はい

GSLBを使する Citrix Gateway はい

クラスターを使した Citrix Gateway はい

Citrix Workspaceアプリから Citrix GatewayのDTLS暗号化への接続

はい

Citrix Gateway上のデュアル Secure TicketAuthority（STA）

はい

Citrix Gateway ICAセッションのタイムアウトはい

Citrix Gatewayマルチストリーム ICA はい

Citrix Gatewayセッションの画の保持性（ポート2598）

はい

Citrix Gatewayダブルホップはい

Citrix ADCから VDAへの DTLSへの暗号化はい

HDX Insight はい

IPv6モードの Citrix Gateway いいえ

Citrix Gateway SOCKS（ポート 1494）いいえ

Citrix ADC pure LAN proxy いいえ

Enlightened Data Transportをサポートするように Citrix Gatewayを構成する

Enlightened Data Transport (EDT)を使する場合EDTで使される UDP接続を暗号化するにはデータグラムトランスポート層セキュリティ (DTLS)を有効にする必要がありますDTLSパラメータはGateway VPN仮想サーバレベルで有効にする必要がありますまたCitrix Virtual Apps and Desktopsコンポーネントが正しくアップグレードされGateway VPN仮想サーバーとユーザーデバイス間のトラフィックが暗号化されるように構成されている必要があります


Citrix Gateway 130

注仮想サーバーが DTLS接続を受信するにはCitrix Gatewayフロントエンド仮想サーバーに構成されたUDPポート（ポート 443など）をDMZで開く必要がありますDTLSと CGPはEDTが Citrix Gatewayと連携するための前提条件です

GUIを使して EDTをサポートするように Citrix Gatewayを構成するには

1 Citrix Gatewayを展開してStoreFrontと通信し Citrix Virtual Apps and Desktopsのユーザーを認証するように構成します

2 Citrix ADC GUIの［構成］タブで［Citrix Gatewayを展開し［仮想サーバー］を選択します

3 [編集]をクリックして VPN仮想サーバーの基本設定を表しDTLS設定の状態を確認します

4 その他の設定オプションを表するには「詳細」( More )をクリックします

5 データグラムプロトコルの通信セキュリティを提供するには[ DTLS ]を選択します［OK］をクリックしますVPN仮想サーバーの [基本設定]領域にはDTLSフラグが Trueに設定されていることがされます

CLIを使して EDTサポートに Citrix Gatewayを構成するには

1 set vpn vserver vs1 -DTLS ON

HDX Insightをサポートするように Citrix Gatewayを構成する

HDX InsightはCitrix ADCを通過する仮想アプリケーションおよびデスクトップへのHDXトラフィックをエンドツーエンドで可視化しますまた管理者はリアルタイムのクライアントおよびネットワーク遅延メトリック履歴レポートエンドツーエンドのパフォーマンスデータを表しパフォーマンス問題のトラブルシューティングをうことができます

GUIを使してHDX Insightをサポートするように Citrix Gatewayを構成するには

1 [構成]タブで[システム] gt [AppFlow] gt [コレクター]に移動し[追加]をクリックします

2「AppFlowコレクタの作成」ページで次のフィールドをし「作成」をクリックします「名前」(Name) mdashコレクターの名前

IPアドレスコレクタの IPv4アドレス

Portコレクタがリッスンするポート

ネットプロファイル-コレクタに関連付けるネットプロファイルプロファイルに定義されている IPアドレスはこのコレクタの AppFlowトラフィックの送信元 IPアドレスとして使されますこのパラメータを設定しない場合Citrix ADC IP（NSIP）アドレスが送信元 IPアドレスとして使されます


Citrix Gateway 130

「トランスポート」mdashコレクターのトランスポートタイプ

3「システム」gt「AppFlow」gt「アクション」に移動し「追加」をクリックします

4「AppFlowアクションの作成」ページで次のフィールドをし「作成」をクリックしますAppFlowアクション名mdashアクションの名前

コメントmdashアクションに関するコメント

「コレクタ」mdash AppFlowアクションに関連付けるコレクタの名前を選択します

[トランザクションログ] mdashログに記録されるトランザクションタイプ

5「システム」gt「AppFlow」gt「ポリシー」に移動し「追加」をクリックします

6「AppFlowポリシーの作成」ページで次のフィールドにし「作成」をクリックします

Nameポリシーの名前

Actionポリシーに関連付けるアクションの名前

UNDEF-未定義のイベントが発したときにこのポリシーに関連付ける AppFlowアクションの名前

Expressionトラフィックが評価される式またはその他の値ブール式である必要があります

コメントmdashこのポリシーに関するコメント

7［Citrix Gateway］gt［仮想サーバー］に移動し仮想サーバーを選択して［編集］をクリックします

8 [ VPN仮想サーバー]ページを下にスクロールし[ポリシー]セクションで [ + ]をクリックします

9 [種類の選択]画の [ポリシーの選択]ドロップダウンメニューで [ AppFlow ]を選択します「タイプの選択」ドロップダウンメニューで「要求」または「ICA 要求」を選択し「続」をクリックします

10 [ポリシーの選択]で強調表された印をクリックします

11 AppFlowポリシーを選択し「選択」をクリックします

12 最後に [バインド]をクリックします

CLIを使して Citrix GatewayでHDX Insightのサポートを構成するには次のコマンドをします

1 add appflow collector col3 -IPAddressltip_masgt2 add appflow action act1 ltaction_namegt3 add appflow policy ltpolicy_namegt true ltaction_namegt4 bind vpn Vserver ltvserver_namegt -pol ltpolicy_namegt - priority101 END -

type ltICA_Requestgt


Citrix Gateway 130

NSAP HDXセッションのHDX Insightを無効にする

Citrix ADCアプライアンスでNSAP HDX以外のセッションで HDX Insightを無効にできるようになりました


1 set ica parameter2 DisableHDXInsightNonNSAP(YES | NO )

デフォルトでは NSAPセッションの HDX Insightが有効になっています


L7遅延しきい値

March 26 2020

HDX Insightの L7レイテンシーのしきい値処理機能はエンドツーエンドのネットワークレイテンシーの問題をアプリケーションレベルでアクティブに検出しプロアクティブなアクションを実しますL7レイテンシーのしきい値処理機能はライブレイテンシーの監視を実してスパイクを検出しレイテンシーが最観測レイテンシーを超えた場合に Insight Centerに通知を送信します

以前は平均的なクライアント側とサーバー側の L7レイテンシー値が 60秒ごとに Insight Centerに送信されていましたこの間隔内で検出されたスパイクは平均化され検出されないままであったまたこれらのスパイクを検出するためのライブ遅延監視もありませんでした

L7レイテンシーと L4レイテンシーの違い

ネットワーク待ち時間がキャプチャされL4レベルでも表されますこれらのレイテンシーは TCPレイヤーから計算されICAトラフィックの解析は必要ありませんしたがって較的が容易でCPUの負荷が少なくなりますしかしL4レイテンシーの主な点はエンドツーエンドのレイテンシーを理解することですパスに TCPプロキシがある場合L4レイテンシーは Citrix ADCから TCPプロキシへのレイテンシーだけをキャプチャしますこれにより情報が不完全になり問題のデバッグが困難になる可能性があります

L7レイテンシーはICAトラフィックを解析することによって計算されますL7レイテンシーの計算は ICAレイヤーでわれるため中間プロキシでは不完全なレイテンシー値は発しませんしたがってはエンドツーエンドの遅延検出を提供します

次の図はTCPプロキシを使する場合と使しない場合の展開の種類をしています


Citrix Gateway 130

ICA RTTと L7のレイテンシ計算の違い

ICA RTTはCitrix Workspaceアプリから仮想デスクトップエージェント（VDA）への往復時間の合計を表しますL7レイテンシーはクライアント側とサーバー側のレイテンシーに関する詳細な詳細を提供しますL7クライアントのレイテンシーはCitrix Workspaceアプリから Citrix GatewayまでのレイテンシーですL7サーバーのレイテンシーはCitrix Gatewayから VDAまでのレイテンシーです

注サーバー側の L7レイテンシーの計算はCitrix Virtual Apps and Desktopsバージョン 713以降でのみサポートされています

CLIを使した L7遅延しきい値の設定

1 ICA遅延プロファイルを追加します

1 add ica latencyprofile ltnamegt [-l7LatencyMonitoring ( ENABLED |DISABLED )] [-l7LatencyThresholdFactor ltpositive_integergt] [-l7LatencyWaitTime ltpositive_integergt] [-l7LatencyNotifyInterval ltpositive_integergt] [-l7LatencyMaxNotifyCount ltpositive_integergt]

2 ICAアクションを追加します

1 add ica action ltnamegt [-latencyprofileName ltstringgt]

3 ICAポリシーを追加します

1 add ica policy ltnamegt -rule ltexpressiongt -action ltstringgt [-commentltstringgt] [-logAction ltstringgt

4 ICAポリシーを VPNサーバーまたは ICAグローバルバインドポイントにバインドします

1 bind ica global -policyName ltstringgt -priority ltpositive_integergt [-gotoPriorityExpression ltexpressiongt] [-type ( ICA_REQ_OVERRIDE |ICA_REQ_DEFAULT )]

または

1 bind vpn vserver ltnamegt -policy ltstringgt [-priority ltpositive_integergt]

または

1 bind cr vserver ltnamegt -policy ltstringgt [-priority ltpositive _integergt]


Citrix Gateway 130

引数

bull レイテンシーモニタリングL7しきい値モニタリングを有効または無効にするパラメータこのパラメータを有効にすると設定された条件が満たされると Insight Centerに通知が送信されます

デフォルト値 DISABLED

bull LatencyThresholdFactor しきい値を超えたため通知を Insight Centerに送信する必要があると結論付けるためにアクティブレイテンシーが最観測レイテンシーよりもきくなければならないファクター

デフォルト値4

最値2

最値65535

bull LatencyWaitTime 遅延しきい値を超えてから Insight Centerに通知を送信するまでアプライアンスが待機する時間（秒単位）

デフォルト値20

最値1

最値65535

bull LatencyNotifyInterval待機時間が経過した後アプライアンスが Insight Centerに後続の通知を送信する間隔（秒単位）


最値1

最値65535

bull LatencyMaxNotifyCount レイテンシーがしきい値を超える間隔内に Insight Centerに送信できる通知の最数

デフォルト値5

GUIを使した L7遅延しきい値の設定

1 「構成」gt「NetScaler Gateway」gt「ポリシー」gt「ICA」に移動します

2 「ICAレイテンシープロファイル」タブを選択し「追加」をクリックします

3ICAレイテンシプロファイルの作成ページで次の操作をいます

bull [ L7レイテンシモニタリング]を選択してL7しきい値モニタリングを有効にします

bull [ L7しきい値係数]にInsight Centerに通知を送信するためにアクティブなレイテンシーが最観測レイテンシーを超える値をします


Citrix Gateway 130

bull [ L7レイテンシー待機時間]にしきい値を超えてから Insight Centerに通知を送信するまでアプライアンスが待機する時間を秒単位でします

bull [ L7遅延通知間隔]に待機時間が経過した後にアプライアンスが Insight Centerに後続の通知を送信する時間を秒単位でします

bull [ L7レイテンシーの最通知数]にレイテンシーがしきい値を超える間隔内に Insight Centerに送信できる通知の最数をします

注L7レイテンシーの最通知カウントはしきい値を超えた時点で適されアクティブなレイテンシーがしきい値を下回るとリセットされますこれらの通知の周期性は通知間隔によって制御されます


L7レイテンシー測定モデルと L7レイテンシーしきい値レポートモデル

L7レイテンシー測定モデル

L7レイテンシー測定モジュールでは平均クライアント側とサーバー側の L7レイテンシー値が 60秒ごとに InsightCenterに送信されますその結果この間隔内で検出されたスパイクは平均化され検出されないままになりますまたL7レイテンシ測定モジュールにはライブレイテンシ監視機能はありません

次の図はL7遅延測定モデルのサンプルをしています

L7遅延しきい値レポートモデル

L7遅延しきい値レポートモデルにはスパイクを検出するライブレイテンシーモニタリング機能がありますレイテンシーが観測された最レイテンシーを超えるとInsight Centerに通知が送信されます

しきい値を超えると遅延の増加が検出されます設定されたしきい値の待機時間が経過するとInsight Centerに通知が送信されます待機時間が経過ししきい値を超えた後後続の通知が Insight Centerに送信されます待機時間が期限切れになる前に待機時間がしきい値係数を下回る場合通知は Insight Centerに送信されません

次の図はL7遅延しきい値レポートモデルのサンプルをしています

実時に次のパラメータを設定できます

bull しきい値モニタリング（ONOFF）bull しきい値要素bull しきい値の待機時間bull 通知間隔bull 最通知数



Citrix Gateway 130

Microsoft Intune統合

March 26 2020

Microsoft Intuneと Citrix Gatewayの統合によりCitrix Gatewayと Intuneが提供するクラス最のアプリケーションアクセスとデータ保護ソリューションが提供されます

Eメールカレンダー連絡先メモ作成ドキュメント編集リモートアクセスなど最も包括的な安全性のい産性アプリケーションスイートをできますこれらはすべて異なるプラットフォーム間で元管理できますIntuneと Citrix Gatewayの統合により世界クラスのモバイルデバイス管理 (MDM)機能が提供されますCitrix Gatewayのクライアント側テクノロジによりこれらの Intuneアプリケーションが Citrix Gatewayを介して企業データとアプリケーションに安全にアクセスできるようになります

この統合によりCitrix Gatewayは Intuneからコンプライアンスデータを取得し条件付きアクセスポリシーを有効にすることができます条件付きアクセスポリシーによりCitrix Gatewayではデバイスの機能などに基づいてアクセスを制御できますたとえば管理者は「カメラ」が無効になっているデバイスのみにアクセス権を付与するポリシーを作成できます

Citrix Gateway仮想サーバーが構成されるとCitrix Gatewayは Azureの Active Directoryライブラリ（ADAL）トークン認証をサポートします構成時にCitrixネットワーク専ラッパーまたは SDKでラップされたモバイルアプリケーションはAADから直接取得できる ADALトークンを使して Citrix Gatewayにアクセスします

Microsoft Endpoint Managerと Citrixマイクロ VPNの統合

Citrix Gatewayのお客様はMicrosoftエンドポイントマネージャー（Intune）でマイクロ VPNを使できますCitrix micro VPNとMicrosoft Endpoint Managementとの統合によりアプリはオンプレミスのリソースにアクセスできます

Citrix micro VPNテクノロジーはVPNトンネルが常にアクティブであるとは限らないためデータ転送コストを削減しセキュリティを簡素化するオンデマンド VPNを提供します代わりに必要なときにのみアクティブになりリスクが軽減されデバイスのパフォーマンスが最適化されユーザーエクスペリエンスが向上しますこれによりモバイルバッテリーの寿命も向上しますCitrixのマイクロ VPNテクノロジーによりモバイルユーザーは社内リソースへの安全なアクセスを提供すると同時に最のユーザーエクスペリエンスを提供します

Micro VPNは次のユースケースでのみサポートされます

bull Intuneモバイルアプリケーション管理 (MAM)のみbull Intuneモバイルデバイス管理 (MDM)とモバイルアプリケーション管理 (MAM)

重要

bull Citrix Gatewayのお客様は2021年 1まで追加料なしでMicrosoftエンドポイントマネージャーでマイクロ VPNを使する権利を有します


Citrix Gateway 130

bull マイクロ VPNを使するにはSSL VPN機能のために Citrix Gatewayアドバンストエディションまたはプレミアムエディション（VPX 3000以降）が必要です

Microsoftエンドポイントマネージャーとの Citrixマイクロ VPN統合の設定の詳細については「Microsoftエンドポイントマネージャーでマイクロ VPNを使するための Citrix Gatewayのセットアップ」を参照してください


統合 Intune MDMソリューションを使するタイミング

March 26 2020

次のシナリオは統合 Intune MDMソリューションの使をしています

bull 新しいお客様がオンプレミスの Citrix Gateway導で Intuneをオンプレミスで導することを決定bull 既存の Citrix Gatewayユーザーが Intuneでモバイルデバイス管理を追加しようとしていますbull 既存の Intuneユーザーが会社の DMZ内の Citrix Gatewayの物理アプライアンスまたは仮想アプライアンスを使して社内ネットワーク内にあるデータにモバイルデバイスやアプリケーションにアクセスできるようにしたいと考えています

注

iOSクライアントと Androidクライアントのみがサポートされています


Citrix Gatewayと Intune MDMの統合について

March 26 2020

般的な Citrix Gatewayと Intune MDMの統合におけるイベントのフローの例を次にします

1 Intuneにモバイルデバイスを登録します2 企業で承認されたアプリケーションとデバイスポリシーがデバイスにプッシュされます3 デバイスから SharePoint (オンプレミスアプリケーション)を参照します4 ブラウザーの要求はCitrix Gatewayされます5 Citrix GatewayアプライアンスはIntuneにデバイスの登録ステータスをチェックします6 準拠したデバイスが正常に登録されるとSharePointアクセスが許可されます


Citrix Gateway 130

デバイスによって条件付きアクセス (CA)ポリシーが満たされない場合Citrix Gateway VPN クライアントはIntuneがホストするページへのリンクとともにエラーメッセージをユーザーに表しデバイスのコンプライアンス状態を登録または修復します

注管理者はユーザーがデバイス上のさまざまな証明書を区別できるように証明書を Intuneにプッシュする際に次の点を確認する必要があります

bull 証明書にはサブジェクトの概要が必要ですbull 異なる証明書のサブジェクトの概要は異なるものでなければなりません


単要素ログインの Citrix Gateway仮想サーバーのネットワークアクセス制御デバイスチェックの構成

March 26 2020

重要

以下のセクションではCitrix Gatewayで Intuneを構成するための順をしますAzureポータルでCitrix Gatewayアプリケーションを構成してクライアント IDクライアントシークレットテナント IDを取得する法についてはAzure製品のドキュメントを参照してください

以下の機能を使するにはCitrix ADCアドバンスエディションのライセンスが必要です

Gateway展開に nFactorを使して Citrix Gateway仮想サーバーを追加するには

1［Citrix Gateway］ツリーノードの下にある［仮想サーバー］に移動します


3 [基本設定]領域に必要な情報をし[ OK ]をクリックします

4「サーバー証明書」を選択します

5 必要なサーバー証明書を選択し[バインド]をクリックします




9 [ [ポリシー]]の横のプラスアイコン +をクリックし[ポリシーの選択]リストから [ セッション]を選択し[タイプの選択]リストから [ 要求]を選択し[続]をクリックします


Citrix Gateway 130

10 [ポリシーの選択]の横のプラスアイコン [ポリシー]をクリックします

11 NetScaler Gatewayセッションポリシーの作成ページでセッションポリシーの名前をします

12 プロファイルの横にある [ポリシー]プラスアイコンをクリックしNetScaler Gatewayセッションプロファイルの作成ページでセッションプロファイルの名前をします

13 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にあるチェックボックスをオンにしリストから [オフ]を選択します

14 [プラグインの種類]の横にあるチェックボックスをクリックしリストから [WindowsMac OS X]を選択します

15［詳細設定］をクリックし［クライアント選択］の横にあるチェックボックスをオンにしてその値を［ON］に設定します

16 [セキュリティ]タブで[既定の承認操作]の横にあるチェックボックスをオンにし覧から [許可]を選択します

17 [公開アプリケーション]タブで[ ICAプロキシ]の横にあるチェックボックスをクリックしリストから [OFF ]を選択します


19 NetScaler Gatewayセッションポリシーの作成ページの「式」領域に NS_TRUEとします



22 [詳細設定]で [認証プロファイル]を選択します

23 プラスアイコン [ポリシー]をクリックし認証プロファイルの名前をします

24 プラスアイコン [ポリシー]をクリックして認証仮想サーバを作成します

25 [基本設定]領域で認証仮想サーバーの名前と IPアドレスの種類を指定し[ OK ]をクリックしますIPアドレスの種類はアドレス指定不可能なものでもかまいません

26 [認証ポリシー]をクリックします

27「ポリシーバインディング」ビューでプラスアイコン [ポリシー]をクリックして認証ポリシーを作成します

28 アクションタイプとしてOAUTHを選択しプラスアイコン [ポリシー]をクリックして NACのOAuthアクションを作成します

29 クライアント IDクライアントシークレットテナント IDを使してOAuthアクションを作成します

クライアント IDクライアントシークレットテナント IDはAzureポータルで Citrix Gatewayアプリケーションを構成した後に成されます

httpsloginmicrosoftonlinecomhttpsgraphwindowsnetおよび man-agemicrosoftcomを解決してアクセスできるようにアプライアンス上に適切な DNSネームサーバーが設定されていることを確認します


Citrix Gateway 130

30 OAuthアクションの認証ポリシーを作成します

規則 httpreqheader(ldquoUser-Agentrdquo)contains(ldquoNAC10rdquo)ampamp((httpreqheader(ldquoUser-Agentrdquo)contains(ldquoiOSrdquo) ampamphttpreqheader(ldquoUser-Agentrdquo)contains(ldquoNSGiOSpluginrdquo))

(httpreqheader(ldquoUser-Agentrdquo)contains(ldquoAndroidrdquo)ampamp httpreqheader(ldquoUser-Agentrdquo)contains(ldquoCitrixVPNrdquo)))

31 プラスアイコン [ポリシー]をクリックしてnextFactorポリシーラベルを作成します

32 プラスアイコン [ポリシー]をクリックしてログインスキーマを作成します

33 認証スキーマとして「noschema」を選択し「作成」をクリックします

34 作成したログインスキーマを選択したら[ Continue]をクリックします

35「ポリシーの選択」でユーザーログインの既存の認証ポリシーを選択するかプラスアイコン「+」をクリックして認証ポリシーを作成します認証ポリシーの作成の詳細については度な認証ポリシーの構成を参照してください









cgilogin要求の部としてデバイス IDを送信する VPNプラグインをすために認証ログインスキーマを認証仮想サーバーにバインドするには

1 [セキュリティ] gt [ AAA-アプリケーショントラフィック] gt [仮想サーバ]に移動します

2 以前に選択した仮想サーバを選択し[ Edit]をクリックします

3 [詳細設定]の [ログインスキーマ]をクリックします

4 [ログインスキーマ]をクリックしてバインドします


Citrix Gateway 130

5 [ [gt]]をクリックしてNACデバイスチェックの既存のビルドインログインスキーマポリシーを選択しバインドします

6 認証デプロイメントに適した必要なログインスキーマポリシーを選択し[ Select]をクリックします

上記の展開では単要素認証（LDAP）と NAC OAuth アクションポリシーが使されるためlschema_single_factor_deviceidが選択されています




Azure ADALトークン認証について

March 26 2020

般的な Citrix GatewayのMicrosoft ADALトークン認証におけるイベントの流れを以下にします

1 iOSまたは Androidでアプリを起動するとアプリは Azureにアクセスしますユーザーはユーザーの資格情報を使してログオンするように求められますログオンに成功するとアプリは ADALトークンを取得します

2 この ADALトークンはADALトークンを検証するように構成された Citrix Gatewayに提されます

3 Citrix GatewayはADALトークンの署名をMicrosoftの対応する証明書で検証します

4 検証に成功するとCitrix Gatewayはユーザーのプリンシパル名（UPN）を抽出しアプリケーション VPNに内部リソースへのアクセスを許可します


Microsoft ADALトークン認証の Citrix Gateway仮想サーバーの構成

March 26 2020

Microsoft ADALトークン認証を監視するように Citrix Gateway仮想サーバーを構成するには次の情報が必要です

bull certEndpoint ADALトークン検証の Json Webキー (JWK)を含むエンドポイントの URLbull 対象ユーザーアプリケーションが ADALトークンを送信する Citrix ADC仮想サーバーの FQDNですbull 発者AAD発者の名前デフォルトでされます


Citrix Gateway 130

bull テナント ID Azure ADAL登録のテナント IDbull ClientID ADAL登録の環として Gatewayアプリに付与される意の IDですbull ClientSecret ADAL登録の環として Gatewayアプリに与えられるシークレットキー

1 OAuthアクションを作成します

add authentication OAuthAction ltoauth_action_namegt-OAuthType INTUNE ndashclientid ltclient_idgt -clientsecret ltclient_secretgt-audience ltaudiencegt-tenantid lttenantIDgt-issuer ltissuer_namegt -userNameField upn-certEndpoint ltcertEndpoint_namegt

例

add authentication OAuthAction tmp_action -OAuthType INTUNE -clientid id 1204 -clientsecreta -audience ldquohttphellordquo -tenantid xxxx -issuer ldquohttpshellordquo -userNameField upn -certEndpointhttpsloginmicrosoftonlinecomcommondiscoveryv20keys

2 新しく作成された OAuthに関連付ける認証ポリシーを作成します

addauthentication Policy ltpolicy_namegt-rule true -action ltoauth intune actiongt

例

add authentication Policy oauth_intune_pol -rule true -action tmp_action

3 新しく作成した OAuthを AuthVSにバインドします

bind authentication vserver ltauth_vservergt-policy ltoauth_intune_policygt-priority 2 -gotoPriorityExpression END

例

bind authentication vserver auth_vs_for_gw1_intune -policy oauth_pol -priority 2 -gotoPriorityExpressionEND

4 ログインスキーマを作成します

add authentication loginSchema ltloginSchemaNamegt-authenticationSchema ltauthenticationSchemardquolocationrdquogt

add authentication loginSchemaPolicy ltloginSchemaPolicyNamegt-rule true -action ltloginSchemaNamegt


Citrix Gateway 130

例

add authentication loginSchema oauth_loginschema -authenticationSchema ldquonsconfiglogin-schemaLoginSchemaOnlyOAuthTokenxmlrdquo

add authentication loginSchemaPolicy oauth_loginschema_pol -rule true -action oauth_loginschema

5 ログインスキーマで認証 VSをバインド

bindauthenticationvserverltauth_vsgt -policyltoauth _polgt -priority2 -gotoPriorityExpressionEND

例

bind authentication vserver auth_vs_for_gw1_intune -policy oauth_loginschema_pol -priority2 -gotoPriorityExpression END

6 authnprofileを追加しVPN仮想サーバーに割り当てます

add authnprofile ltnfactor_profile_namegt-authnvsName ltauthvservergt

set vpn vserver ltvserverNamegt-authnprofile ltnfactor_profile_name gt

例

add authnprofile nfactor_prof_intune -authnvsName auth_vs_for_gw1_intune

set vpn vserver gw1_intune-authnprofile nfactor_prof_intune


Microsoftエンドポイントマネージャーでマイクロ VPNを使するための CitrixGatewayのセットアップ

April 9 2020

Citrix micro VPNとMicrosoft Endpoint Managementとの統合によりアプリはオンプレミスのリソースにアクセスできます詳しくは「マイクロソフトのエンドポイントマネージャーと Citrixマイクロ VPNの統合」を参照してください

システム要件

bull Citrix Gatewayバージョン 12059xまたは 12150x以降

Citrix Gatewayの最新バージョンはCitrix Gatewayダウンロードページからダウンロードすることもできます


Citrix Gateway 130

bull Windows 7以降を実しているWindowsデスクトップ（Androidアプリのラッピングにのみ対応）

bull Microsoft

ndash Azure ADアクセス（テナントの管理者特権あり）ndash Intune対応のテナント

bull ファイアウォールのルール

ndash ファイアウォールのルールを有効にしてCitrix Gateway のサブネット IP からmanagemicrosoftcomhttpsloginmicrosoftonlinecomhttpsgraphwindowsnet（ポート 443）に対する SSLのトラフィックを許可します

ndash Citrix Gatewayは前述の URLを外部から解決できる必要があります

前提条件

bull Intune環境 Intune環境がない場合はセットアップします順についてはMicrosoft社のドキュメントを参照してください

bull エッジブラウザアプリマイクロ VPN SDK はMicrosoft Edge アプリと iOS および Android のIntune Managed Browserアプリに統合されていますManaged Browserについて詳しくはMicrosoftのManaged Browserのページを参照してください

Azureの Active Directory (AAD)アプリケーションのアクセス許可を付与する

1 Citrixマルチテナント AADアプリケーションに同意しCitrix Gatewayが AADドメインで認証できるようにしますAzureグローバル管理者は次の URLにアクセスして同意する必要があります

「httpsloginwindowsnetcommonadminconsentclient_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40bampredirect_uri=httpswwwcitrixcomampstate=consent」を参照してください

2 Citrixマルチテナント AADアプリケーションに同意しモバイルアプリケーションが Citrix Gatewayのマイクロ VPNで認証できるようにしますこのリンクはAzureグローバル管理者が [ユーザーがアプリケーションを登録できる]の既定値を [はい]から [いいえ]に変更した場合にのみ必要ですこの設定はAzureポータルの [ Active Directory] gt [ユーザー] gt [ユーザー設定]の下にありますAzureグローバル管理者は次の URLにアクセスして同意する必要があります (テナント IDを追加)httpsloginmicrosoftonlinecom5Btenant_id5Dadminconsentclient_id=9215b80e-186b43a1-8aed-9902264a5af7

マイクロ VPNの Citrix Gatewayの構成

IntuneでMicro VPNを使するにはCitrix Gatewayで Azure Active Directoryが認証されるように設定する必要がありますこのユースケースでは既存の Citrix Gateway仮想サーバーは利できません


Citrix Gateway 130

まずAzure ADがオンプレミスの Active Directoryと同期するように設定しますこの順はIntuneと CitrixGatewayとの間の認証を適切にうために必要です

ダウンロードスクリプト zipファイルにはスクリプトを実装するための指を含む readmeが含まれていますスクリプトに必要な情報を動でしCitrix Gatewayでスクリプトを実してサービスを構成する必要がありますスクリプトファイルはシトリックスのダウンロードページからダウンロードできます

重要 Citrix Gatewayの構成を完了した後「完了」以外のOAuthステータスが表された場合は「トラブルシューティング」セクションを参照してください

マイクロソフトのエッジブラウザーの構成

1 httpsportalazurecomにサインインし［Intune］gt［モバイルアプリ］の順に移動します2 通常どおりに Edge Appを公開しアプリ構成ポリシーを追加します3［管理］の［アプリ構成ポリシー］をクリックします4［追加］をクリックし作成するポリシーの名前をします[デバイスの登録の種類]で[管理対象アプリ]を選択します

5 [関連付けられたアプリ]をクリックします6 ポリシーを適するアプリ (Microsoft Edgeまたは Intune管理対象ブラウザー)を選択し[ OK]をクリックします

7［構成設定］をクリックします8 [ Name ]フィールドに次の表にすいずれかのポリシーの名前をします9［値］フィールドに対象のポリシーに適する値をしますフィールドの外をクリックするとポリシーがリストに追加されますポリシーは複数追加できます

10［OK］をクリックしてから［追加］をクリックします

ポリシーのリストにポリシーが追加されます

名前（iOSまたは Android）値説明

MvpnGatewayAddress httpsexternalcompanynamecom

Citrix Gatewayの外部 URL

MvpnNetworkAccess MvpnNetworkAccessTunneledWebSSOorUnrestricted

MvpnNetworkAccessTunneledWebSSOはトンネリングのデフォルトです

MvpnExcludeDomains 除外するドメイン名のコンマ区切りリスト

オプションですDefault=blank

注 Web SSOは設定の「Secure Browse」の名前です動作は同じです

bull Mvpnネットワークアクセス -MvpnネットワークアクセストンネルWebSSOはCitrix Gatewayを介し


Citrix Gateway 130

た HTTPHTTPSリダイレクトを有効にしますこれはトンネリングされたWeb SSOとも呼ばれますGatewayは HTTP認証チャレンジにインラインで応答しシングルサインオン (SSO)エクスペリエンスを提供しますWeb SSOを使するにはこのポリシーをMvpnネットワークアクセストンネルWebSSOに設定しますフルトンネルリダイレクションは現在サポートされていませんマイクロ VPNトンネリングをオフにしておくには[ Unlimited ]を使します

bull MvpnExcludeDomains -Citrix GatewayリバースWebプロキシ経由のルーティングから除外されるホストまたはドメイン名のコンマ区切りリストCitrix Gatewayで構成されたスプリット DNS設定によってドメインまたはホストが選択される場合がありますがホスト名またはドメイン名は除外されます

注このポリシーはMvpnNetworkAccessTunnedWebSSO 接続に対してのみ適されますMvpnNetworkAccessが [制限なし]の場合このポリシーは無視されます

トラブルシューティング

般的な問題

問題解像度

アプリを開くと「ポリシーの追加が必要です」というメッセージが表されます

Microsoft Graph APIでポリシーを追加する

ポリシーの競合があります 1つのアプリにつき 1つのポリシーのみ許可されます

アプリをラップすると「アプリをパッケージ化できませんでした」というメッセージが表されます完全なメッセージについては以下を参照してください

アプリは Intune SDKと統合されていますIntuneでアプリをラップする必要はありません

アプリが内部リソースに接続できない正しいファイアウォールポートが開いていることテナント IDが正しいことを確認します

アプリのエラーメッセージをパッケージ化できませんでした

Failed to packageapp commicrosoftintunemamapppackagerutilsAppPackagerException This appalready has the MAMSDK integratedcommicrosoftintunemamapppackagerAppPackagerpackageApp(AppPackagerjava113)commicrosoftintunemamapppackagerPackagerMainmainInternal(PackagerMainjava198)commicrosoftintunemamapppackagerPackagerMainmain(PackagerMainjava56)The application cannot be wrapped

Citrix Gatewayの問題


Citrix Gateway 130

問題解像度

Azureの Gatewayアプリに構成するために必要なアクセス許可は使できません

適切な Intuneライセンスが利可能かどうかを確認します管理ウィンドウサズ urecomポータルを利して権限を追加できるかどうかを試してください問題が解決しない場合はMicrosoftのサポートにお問い合わせください

Citrix Gatewayはloginmicrosoftonlinecomandgraphwindowsnetにアクセスできません

NSシェルから次のMicrosoft Webサイトにアクセスできるかどうかを確認しますcurl-v-khttpsloginmicrosoftonlinecom次にCitrix Gatewayで DNSが構成されているかどうかを確認しますまたファイアウォール設定が正しいことを確認します（DNS要求がファイアウォールされている場合）

OAuthActionを設定するとnslogにエラーが記録される

Intuneのライセンスが有効であることおよびAzure Gatewayアプリに適切な権限のセットが設定されているかを確認します

Sh OAuthActionコマンドで OAuthのステータスが完了と表されない

DNS設定と Azure Gatewayアプリに設定されている権限を確認します

Androidまたは iOSデバイスで 2要素認証のプロンプトが表されない

2要素デバイス IDログオンスキーマが認証仮想サーバーにバインドされているかを確認します

Citrix GatewayのOAuthステータスとエラー状態

ステータスエラー状態

AADFORGRAPH シークレットが無効URLが未解決接続タイムアウト

MDMINFO managemicrosoftcomがダウンしているか到達不能です

GRAPH グラフエンドポイントがダウンしており到達不能

CERTFETCH DNSエラーのためトークンエンドポイントhttpsloginmicrosoftonlinecomと通信できないこの構成を検証するにはshellに移動しcurlhttpsloginmicrosoftonlinecomとしますこのコマンドは検証が必要です


Citrix Gateway 130

注 OAuthステータスが成功するとステータスは COMPLETEと表されます


UDPトラフィックに対するサービスサポートのタイプ

March 26 2020

UDPのタイプオブサービス（ToS）のサポートにより送信者が UDPパケットに対して ToS値が構成されるとCitrix Gatewayはそのパケットが宛先に到達するまで値を保持します設定された値と宛先ネットワークの設定に基づいて宛先ネットワークは UDPパケットを優先順位付けされた発信キューに配置します

注ToS情報を使すると各 IPパケットに優先順位を割り当てスループット信頼性低遅延などの特定の処理を要求できます


Citrix Gatewayでのアウトバウンドプロキシのプロキシ動構成サポート

March 26 2020

プロキシ動構成（PAC）をサポートするように Citrix Gatewayアプライアンスを構成するとPACファイルのURLがクライアントブラウザーにプッシュされますクライアントからのトラフィックはPACファイルで定義された条件に従ってそれぞれのプロキシにリダイレクトされます

次にアウトバウンドプロキシの PACの般的な使例をします

bull クライアントトラフィックを処理する複数のプロキシサーバーを構成するbull サブネット間でプロキシトラフィックをロードバランシングする

コマンドラインインターフェイスを使して送信プロキシの PACをサポートするように Citrix Gatewayグローバルパラメータを構成するには次の操作をいます


1 lsquolsquolsquo2 set vpn parameter -proxy BROWSER -autoProxyUrl ltURLgt3 lsquolsquolsquo


Citrix Gateway 130

セッションプロファイルで PACをサポートするように Citrix Gatewayを構成するには


1 lsquolsquolsquo2 add vpn sessionAction ltnamegt -proxy BROWSER -autoProxyUrl ltURLgt3 lsquolsquolsquo

値

bull URL mdashプロキシサーバーの URLbull 名前VPNセッションアクションの名前

Citrix ADC GUIを使して送信プロキシの PACをサポートするように Citrix Gatewayグローバルパラメータを構成するには次の操作をいます

1［構成］ gt Citrix Gateway gt［グローバル設定］に移動します2 [グローバル設定]ページで[グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します

3 [クライアントエクスペリエンス]タブで[詳細設定]を選択し[プロキシ]タブを選択します4 [プロキシ]タブで[ブラウザ]を選択し[動構成を使]を選択します5 [動プロキシ設定ファイルへの URL]フィールドに必要な PACファイルの URLをします6 [作成]をクリックします

Citrix ADC GUIを使してセッションプロファイルの PACをサポートするように Citrix Gatewayを構成するには

1［設定］gt［Citrix Gateway］gt［ポリシー］gt［セッション］に移動します2 Citrix GatewayセッションポリシーとプロファイルページでCitrix Gatewayセッションプロファイルを作成します

Citrix Gatewayセッションプロファイルを作成するには［セッションプロファイル］タブを選択し［追加］をクリックして名前をします



アウトバウンド ICAプロキシのサポート

March 26 2020


Citrix Gateway 130

Citrix Gateway のアウトバウンド ICA プロキシのサポートによりネットワーク管理者は Receiver と CitrixGatewayが異なる組織に展開されている場合でもSmartControl機能を利できます

次のシナリオはアウトバウンド ICAプロキシソリューションの使をしています

Receiverと Citrix Gatewayを異なる組織に展開する場合はネットワーク管理者が ICAセッション関連の機能を制御する必要があります

アウトバウンド ICAプロキシのサポートについて

企業組織に SmartControl 機能をもたらすために会社 A これはReceiver を持っています私たちはLANプロキシとして機能する Citrix ADC アプライアンスを追加する必要があります Citrix ADC LAN プロキシはSmartControl を強制しB 社の Citrix Gateway にトラフィックをプロキシしますこの展開シナリオではReceiverは Citrix ADC LANプロキシにトラフィックを転送しますこれによりA社のネットワーク管理者がSmartControlを強制することができます展開を次の図にします

このシナリオではLANプロキシと Citrix Gateway間のトラフィックは SSL経由です

注クライアント証明書ベースの認証はCitrix Gatewayで有効にしないでください


アウトバウンド ICAプロキシの構成

March 26 2020

CLIを使してアウトバウンド ICAプロキシを構成するには次の順に従います

1 キャッシュリダイレクト Vserverを追加します

add cr vserver ltnamegt ltserviceTypegt ltIPAddressgt ltportgt -cacheType ltcacheTypegt

サービスは HDXである必要があります

キャッシュタイプはフォワードでなければなりません

例

add cr vserver CR_LAN_Proxy HDX 10217208197 8080 -cacheType FORWARD

2 ICAスマートコントロールプロファイルを追加します

add ica accessprofile ltnamegt -ConnectClientLPTPorts ( DEFAULT | DISABLED ) ClientAu-dioRedirection ( DEFAULT | DISABLED ) -LocalRemoteDataSharing ( DEFAULT | DISABLED )-ClientClipboardRedirection ( DEFAULT | DISABLED ) -ClientCOMPortRedirection ( DEFAULT|DISABLED ) -ClientDriveRedirection ( DEFAULT | DISABLED ) -ClientPrinterRedirection (


Citrix Gateway 130

DEFAULT |DISABLED ) -Multistream ( DEFAULT | DISABLED ) -ClientUSBDriveRedirection (DEFAULT | DISABLED)

例

1 add ica accessprofile disableCDM -ConnectClientLPTPorts DEFAULT -ClientAudioRedirection DEFAULT ‒ LocalRemoteDataSharing DEFAULT-ClientClipboardRedirection DEFAULT -ClientCOMPortRedirectionDEFAULT ‒ ClientPrinterRedirection DEFAULT -Multistream DEFAULT-ClientUSBDriveRedirection DEFAULT

3 ICAアクションを追加する

add ica action ltnamegt -accessProfileName ltstringgt

例

1 add ica action disableCDM_action -accessProfileName disableCDM


add ica policy ltnamegt -rule ltexpressiongt -action ltstringgt -comment ltstringgt -logActionltstringgt

5 ICAポリシーを仮想サーバーまたはグローバルにバインドします

a 仮想サーバーにバインド

1 bind cr vserver ltnamegt -policyName ltstringgt -priority ltpositive_integergt

例

1 bind cr vserver CR_LAN_Proxy ‒ policyname disableCDM_pol ‒priority 10

b グローバルにバインド

1 bind ica global -policyName ltstringgt -priority ltpositive_integergt

例

1 bind ica global ‒ policyName disableCDM_pol ‒ priority 10


Citrix Gateway 130

注

［Secure ICAポート］の設定この値はLANプロキシがアウトバウンド接続をう Citrix Gatewayのポート番号ですデフォルトでは 443に設定されていますポートを変更するには次のコマンドを使します

set ns param -secureicaPortsltportgt

例

set ns param -secureicaPorts 8443



March 26 2020


注Citrix Virtual Apps and Desktopsを Citrix Gatewayと統合する構成順についてはStoreFrontのドキュメントを参照してください



認証のネイティブOTPサポート

March 26 2020

Citrix Gatewayではサードパーティのサーバーを使せずにワンタイムパスワード（OTP）をサポートしていますワンタイムパスワードは成される番号またはパスコードがランダムであるためセキュリティで保護されたサーバに対して認証をうための常に安全なオプションです以前はランダムな数字を成する特定のデバイスを備えた RSAなどの専企業によって OTPが提供されていましたこのシステムはサーバーが期待する数値を成するためにクライアントと常に通信する必要があります


Citrix Gateway 130

この機能は設備コストと運コストの削減に加えてCitrix ADCアプライアンスの構成全体を維持することで管理者の管理を強化します

注

サードパーティ製サーバーが不要になったためCitrix ADC管理者はユーザーデバイスを管理および検証するためのインターフェイスを構成する必要があります

ユーザーが OTPソリューションを使するにはCitrix Gateway仮想サーバーに登録されている必要があります登録は意のデバイスごとに 1回だけ必要で特定の環境に制限できます登録ユーザーの設定と検証は追加の認証ポリシーの設定に似ています

ネイティブOTPサポートの利点

bull Active Directoryに加えて認証サーバに追加のインフラストラクチャを使する必要がなくなるため運コストが削減されます

bull 構成を Citrix ADCアプライアンスにのみ統合し管理者に優れた制御を提供しますbull クライアントが期待する数値を成するために追加の認証サーバーへのクライアントの依存を排除します

ネイティブOTPワークフロー

ネイティブ OTPソリューションは 2つ折りプロセスでありワークフローは次のように分類されます

bull デバイス登録bull エンドユーザーログイン

重要

サードパーティ製のソリューションを使している場合やCitrix ADCアプライアンス以外のデバイスを管理している場合は登録プロセスをスキップできます追加する最後の字列はCitrix ADCで指定された形式である必要があります

次の図はOTPを受信する新しいデバイスを登録するためのデバイス登録フローをしています

注

デバイスの登録は任意の数の要因を使してうことができますデバイス登録プロセスを説明する例として1つのファクタ（前の図を参照）を使します

次の図は登録されたデバイスを介した OTPの検証をしています

前提条件

ネイティブ OTP機能を使するには次の前提条件が満たされていることを確認します

bull Citrix ADC機能のリリースバージョンは 120ビルド 5124以降です


Citrix Gateway 130

bull 度なエディションまたはプレミアムエディションのライセンスが Citrix Gatewayにインストールされている

bull Citrix Gatewayには管理 IPが設定されており管理コンソールにはブラウザーとコマンドラインの両を使してアクセスできます

bull Citrix ADCはユーザーを認証するための認証承認監査仮想サーバーで構成されていますbull Citrix ADCアプライアンスはUnified Gatewayで構成され認証承認監査プロファイルが Gateway仮想サーバーに割り当てられます

bull ネイティブ OTPソリューションはnFactor認証フローに制限されていますソリューションを構成するには度なポリシーが必要です詳細については記事CTX222713を参照してください

またActive Directoryについては次の点を確認してください

bull 256字の属性の最bull 属性タイプはユーザーパラメータなどの lsquoディレクトリ字列rsquoである必要がありますこれらの属性は字列値を保持できます

bull デバイス名が英語以外の字である場合属性字列タイプは Unicodeである必要がありますbull Citrix ADC LDAP管理者は選択した AD属性への書き込みアクセス権を持っている必要がありますbull Citrix ADCアプライアンスとクライアントマシンは共通のネットワークタイムサーバーに同期する必要があります

GUIを使したネイティブOTPの設定

ネイティブ OTP登録は単要素認証ではありません次のセクションではシングルファクタ認証と 2番のファクタ認証の設定について説明します

最初の要素のログインスキーマの作成

1 [セキュリティ AAA] gt [アプリケーショントラフィック] gt [ログインスキーマ]に移動します

2 [プロファイル]に移動し[追加]をクリックします

3「認証ログインスキーマの作成」ページで「名前」フィールドに lschema_first_factor とし「noschema」の横にある「編集」をクリックします

4 [ LoginSchema ]フォルダをクリックします

5 下にスクロールして SingleAuthxmlを選択し[選択]をクリックします


7 [ポリシー]をクリックし[追加]をクリックします

8 [認証ログインスキーマポリシーの作成]画で次の値をします


Citrix Gateway 130

名前 lschema_first_factorプロファイルリストから lschema_first_factorを選択しますルール HTTP要求クッキー値 (「NSC_TASS」) EQ (「管理」)

認証承認監査仮想サーバーの構成

1 [セキュリティ] gt [AAA] gt [アプリケーショントラフィック] gt [認証仮想サーバ]に移動します既存の仮想サーバーを編集する場合にクリックします

2 右側のペインの [詳細設定]の [ログインスキーマ]の横にある [ + ]アイコンをクリックします

3「ログインスキーマなし」を選択します

4 印をクリックしてlschema_first_factorポリシーを選択します

5 lschema_first_factorポリシーを選択し[選択]をクリックします

6 [バインド]をクリックします

7 上にスクロールし[度な認証ポリシー]の下の [認証ポリシー]を 1つ選択します

8 nFactorポリシーを右クリックし[バインディングの編集]を選択します

9 [次の係数の選択]の下にある [ + ]アイコンをクリックし [次の係数]を作成して [バインド]をクリックします

10「認証ポリシーラベルの作成」画で次のようにし「続」をクリックします

名前 OTP管理ファクター

ログインスキーマ Lschema_Int

11「認証ポリシーラベル」画で「+」アイコンをクリックしてポリシーを作成します

12 [認証ポリシーの作成]画で次のようにします

名前 otp_manage_ldap

13 [アクションタイプ]リストを使してアクションタイプを選択します

14「アクション」フィールドで「+」アイコンをクリックしてアクションを作成します

15 「認証 LDAPサーバーの作成」ページで「サーバー IP」ラジオボタンを選択し「認証」の横にあるチェックボックスの選択を解除し次の値をして「接続のテスト」を選択します

名前 LDAP_no_auth

IPアドレス1921681011

ベース DN DC =トレーニングDC =ラボ

管理者 Administratortraininglab

パスワード xxxxx


Citrix Gateway 130

16 [その他の設定]セクションまで下にスクロールしますドロップダウンメニューを使して次のオプションを選択します

「サーバーログオン名」属性として「新規」とし「ユーザープリンシパル名」とします

17 ドロップダウンメニューを使して「新規」として「SSO名属性」を選択し「userprincipalname」とします

18「OTPシークレット」フィールドに「ユーザーパラメータ」とし「詳細」をクリックします

19 次の属性をします

属性 1 =メール属性 2 =オブジェクト GUID属性 3 =変更不可能 ID


21 [認証ポリシーの作成]ページで[式]を trueに設定し[作成]をクリックします

22「認証ポリシーの作成」ラベルページで「バインド」をクリックし「完了」をクリックします

23 [ポリシーのバインド]ページで[バインド]をクリックします

24 [認証ポリシー]ページで[閉じる]をクリックし[完了]をクリックします

注

認証仮想サーバーは RFWebUIポータルテーマにバインドする必要がありますサーバー証明書をサーバーにバインドしますサーバー IP lsquo1235rsquoには後で使するために otpauthservercomという対応するFQDNが必要です

第 2要素OTPのログインスキーマの作成

1 [セキュリティ] gt [AAAアプリケーショントラフィック] gt [仮想サーバ]に移動します編集する仮想サーバを選択します

2 下にスクロールして[ログインスキーマ]を 1つ選択します3 [バインドを追加]をクリックします4 [ポリシーのバインド]セクションで[ + ]アイコンをクリックしてポリシーを追加します5 [認証ログインスキーマポリシーの作成]ページで「名前」にOTPとし[ + ]アイコンをクリックしてプロファイルを作成します

6「認証ログインスキーマの作成」ページで「名前」に「OTP」とし「noschema」の横のアイコンをクリックします

7 [ LoginSchema ]フォルダーをクリックし[ DualAuthxml ]を選択し[選択]をクリックします8［作成］をクリックします9 [ルール]セクションでTrueとします［作成］をクリックします


Citrix Gateway 130

10［バインド］をクリックします11 認証の 2つの要素に注してください[閉じる]をクリックし[完了]をクリックします

OTPを管理するためのコンテンツスイッチングポリシーを構成する

Unified Gatewayを使する場合は次の設定が必要です

1 [トラフィック管理] gt [コンテンツの切り替え] gt [ポリシー]に移動しますコンテンツスイッチングポリシーを選択し右クリックして [編集]を選択します

2 式を編集して次の ORステートメントを評価し[ OK]をクリックします

is_vpn_url HTTPREQURLCONTAINS(ldquomanageotprdquo)

CLIを使したネイティブOTPの設定

OTPデバイス管理ページを設定するには次の情報が必要です

bull 認証仮想サーバに割り当てられた IPbull 割り当てられた IPに対応する FQDNbull 認証サーバー証明書仮想サーバー

注

ネイティブ OTPはWebベースのソリューションのみです

OTPデバイスの登録および管理ページを構成するには


1 gt add authentication vserver authvs SSL 1235 4432 gt bind authentication vserver authvs -portaltheme RFWebUI3 gt bind ssl vserver authvs -certkeyname otpauthcert

注

認証仮想サーバーは RFWebUIポータルテーマにバインドする必要がありますサーバー証明書をサーバーにバインドする必要がありますサーバー IP lsquo1235rsquoには後で使するために otpauthservercomという対応する FQDNが必要です


Citrix Gateway 130

LDAPログオンアクションを作成するには

add authentication ldapAction ltLDAP ACTION NAMEgt -serverIP ltSERVER IPgt - serverPort ltSERVER PORTgt -ldapBase ltBASEgt -ldapBindDn ltAD USERgt -ldapBindDnPassword ltPASSWOgt -ldapLoginName ltUSER FORMATgt

例

1 add authentication ldapAction ldap_logon_action -serverIP 1234 -serverPort 636 -ldapBase rdquoOU=UsersDC=serverDC=comrdquo -ldapBindDnadministratorctxnsdevcom -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

LDAPログオンの認証ポリシーを追加するには

1 add authentication Policy auth_pol_ldap_logon -rule true -actionldap_logon_action

ログインスキーマを使して UIを表するには

ログオン時にユーザー名のフィールドとパスワードフィールドをユーザーに表する

1 add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema rdquonsconfigloginschemaLoginSchemaSingleAuthManageOTPxmlrdquo

デバイスの登録と管理ページを表する

デバイスの登録と管理画を表するにはURLまたはホスト名の 2つの法があります

bull URLを使する

URLにrsquomanageotprsquoが含まれている場合

ndash add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url-rule rdquohttpreqcookievalue(rdquoNSC_TASSrdquo)contains(rdquomanageotprdquo)rdquo-

action lschema_single_auth_manage_otpndash bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url

-priority 10 -gotoPriorityExpression END

bull ホスト名の使

ホスト名が「altservercom」の場合


Citrix Gateway 130

ndash add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host-rule rdquohttpreqheader(rdquohostrdquo)eq(rdquoaltservercomrdquo)rdquo-action

lschema_single_auth_manage_otpndash bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host


CLIを使してユーザログインページを設定するには

[ユーザーログオン]ページを構成するには次の情報が必要です

bull 負荷分散仮想サーバの IPbull 負荷分散仮想サーバーの対応する FQDNbull 負荷分散仮想サーバーのサーバー証明書

注

2要素認証に既存の認証仮想サーバー (authvs)を再利します

負荷分散仮想サーバーを作成するには

1 gt add lb vserver lbvs_https SSL 123162 443 -persistenceType NONE -cltTimeout 180 - AuthenticationHost otpauthservercom -Authentication ON -authnVsName authvs

2 gt bind ssl vserver lbvs_https -certkeyname lbvs_server_cert

ロードバランシングにおけるバックエンドサービスは次のように表されます

1 gt add service iis_backendsso_server_com 123210 HTTP 802 gt bind lb vserver lbvs_https iis_backendsso_server_com

OTPパスコード検証アクションを作成するには

add authentication ldapAction ltLDAP ACTION NAMEgt -serverIP ltSERVER IPgt -serverPort ltSERVER PORTgt -ldapBase ltBASEgt -ldapBindDn ltAD USERgt -ldapBindDnPasswordltPASSWORDgt -ldapLoginName ltUSER FORMATgt -authentication DISABLED -OTPSecretltLDAP ATTRIBUTEgt

例

1 add authentication ldapAction ldap_otp_action -serverIP 1234 -serverPort 636 -ldapBase rdquoOU=UsersDC=serverDC=comrdquo -ldapBindDnadministratorctxnsdevcom -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecretuserParameters


Citrix Gateway 130

重要

LDAPログオンと OTPアクションの違いは認証を無効にし新しいパラメータ「OTPSecret」を導する必要があることですAD属性値を使しないでください

OTPパスコード検証の認証ポリシーを追加するには

1 gt add authentication Policy auth_pol_otp_validation -rule true -actionldap_otp_action

LoginSchemaを使して 2要素認証を表するには

2要素認証の UIを追加します

1 gt add authentication loginSchema lscheme_dual_factor -authenticationSchema rdquonsconfigloginschemaLoginSchemaDualAuthxmlrdquo

23 gt add authentication loginSchemaPolicy lpol_dual_factor -rule true -

action lscheme_dual_factor

ポリシーラベルを使してパスコード検証係数を作成するには

次の要素の管理 OTPフローポリシーラベルを作成する（最初の要素は LDAPログオン）

1 gt add authentication loginSchema lschema_noschema -authenticationSchemanoschema

23 gt add authentication policylabel manage_otp_flow_label -loginSchema

lschema_noschemalsquo

OTPポリシーをポリシーラベルにバインドするには

1 bind authentication policylabel manage_otp_flow_label -policyNameauth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

UIフローをバインドするには

LDAPログオンに続いて OTP検証を認証仮想サーバーとバインドします


Citrix Gateway 130

1 gt bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT

23 gt bind authentication vserver authvs -policy lpol_dual_factor -priority

30 -gotoPriorityExpression END

Citrix ADCでデバイスを登録する

1 manageotpというサフィックスが付いたCitrix ADC FQDN（最初のパブリック IPアドレス）に移動しますたとえばユーザーの資格情報でhttpsotpauthservercommanageotpにログインします

2 [ + ]アイコンをクリックしてデバイスを追加します

3 デバイス名をしGoキーを押しますバーコードが画に表されます

4 [セットアップの開始]をクリックし[バーコードのスキャン]をクリックします

5 デバイスのカメラを QRコードの上に置きます必要に応じて16桁のコードをできます

注

表されている QRコードは 3分間有効です

6 スキャンに成功するとログインに使できる 6桁の時間依存コードが表されます

7 テストするにはQR画で [完了]をクリックし右側の緑のチェックマークをクリックします

8 プルダウンメニューから端末を選択しGoogle Authenticatorからコード（ではなくでなければならない）をし[ Go]をクリックします

9 ページの右上隅にあるドロップダウンメニューを使してログアウトしてください

OTPを使して Citrix ADCにログインします

1 最初の公開 URLに移動しGoogle Authenticatorから OTPをしてログオンします

2 Citrix ADCスプラッシュページへの認証をいます


OTPのプッシュ通知

April 9 2020


Citrix Gateway 130

Citrix GatewayはOTPのプッシュ通知をサポートしていますユーザーはCitrix Gatewayにログインするために登録されたデバイスで受信したOTPを動でする必要はありません管理者はプッシュ通知サービスを使してユーザーの登録デバイスにログイン通知が送信されるように Citrix Gatewayを設定できますユーザーが通知を受け取ったら通知の [許可]をタップするだけで Citrix GatewayにログインできますGatewayはユーザーからの確認応答を受信すると要求の送信元を識別しそのブラウザ接続に応答を送信します

タイムアウト時間（30秒）内に通知応答が受信されない場合ユーザーは Citrix Gatewayのログインページにリダイレクトされますその後ユーザは OTPを動でするか[再送信（Resend Notification） ]をクリックして登録されたデバイスで再度通知を受信できます

管理者はプッシュ通知に作成されたログインスキーマを使してプッシュ通知認証をデフォルト認証としてうことができます

重要プッシュ通知機能はCitrix ADC Premiumエディションライセンスで利できます

プッシュ通知の利点

bull プッシュ通知はより安全な多要素認証メカニズムを提供しますユーザーがログイン試を承認するまでCitrix Gatewayへの認証は成功しません

bull プッシュ通知は管理と使が簡単ですユーザーはCitrix SSOモバイルアプリをダウンロードしてインストールする必要があります管理者による援は必要ありません

bull ユーザーはコードをコピーしたり覚えておく必要はありません認証を受けるにはデバイスをタップするだけで済みます

bull ユーザーは複数のデバイスを登録できます

プッシュ通知の動作

プッシュ通知ワークフローは次の 2つのカテゴリに分類できます


プッシュ通知を使するための前提条件

bull Citrix Cloudのオンボーディングプロセスを完了します

1 Citrix Cloudの企業アカウントを作成するか既存のアカウントに参加します詳細なプロセスと順については「Citrix Cloudへのサインアップ」を参照してください

2 httpscitrixcloudcomにログインし顧客を選択します

3「メニュー」から「ID」と「アクセス管理」を選択し「API Access」タブに移動して顧客のクライアントを作成します


Citrix Gateway 130

4 IDシークレットカスタマー IDをコピーしますこの IDとシークレットはCitrix ADCでプッシュサービスを「ClientID」と「ClientSecret」として構成するために必要です

重要

bull 同じ API認証情報を複数のデータセンターで使できますbull オンプレミスの Citrix ADC アプライアンスはサーバーアドレスの mfacloudcom と

trustcitrixWorkspacesapinetを解決できる必要がありアプライアンスからアクセスできる必要がありますこれはポート 443を介してこれらのサーバに対してファイアウォールまたは IPアドレスブロックがないことを保証するためです

bull iOSデバイスと Androidデバイスのアプリストアと Playストアから Citrix SSOモバイルアプリをダウンロードしますプッシュ通知は235から Android上のビルド 1113から iOSでサポートされています

bull Active Directoryについて次のことを確認します

ndash 属性の最は 256字以上にする必要がありますndash 属性タイプはユーザーパラメータなどの lsquoディレクトリ字列rsquoである必要がありますこれらの属性は字列値を保持できます

ndash デバイス名が英語以外の字である場合属性字列タイプは Unicodeである必要がありますndash Citrix ADC LDAP管理者は選択した AD属性への書き込みアクセス権を持っている必要がありますndash Citrix ADCとクライアントマシンは共通のネットワークタイムサーバーに同期する必要があります

プッシュ通知の設定

プッシュ通知機能を使するには次の順を完了する必要があります

bull Citrix Gateway管理者はユーザーを管理および検証するためのインターフェイスを構成する必要があります

1 プッシュサービスを構成します

2 OTP管理とエンドユーザーログインに Citrix Gatewayを構成します

Citrix Gatewayにログインするにはデバイスを Gatewayに登録する必要があります

3 デバイスを Citrix Gatewayに登録します

4 Citrix Gatewayにログインします

プッシュサービスの作成

1 [セキュリティ] gt [ AAAアプリケーショントラフィック] gt [ポリシー] gt [認証] gt [度なポリシー] gt [アクション] gt [プッシュサービス]に移動し[追加]をクリックします

2「名前」にプッシュサービスの名前をします


Citrix Gateway 130

3「クライアント ID」にクラウド内の Citrix Pushサーバーと通信するための証明書利者の意の IDをします

4 [クライアントシークレット]にクラウド内の Citrix Pushサーバーと通信するための証明書利者の意のシークレットをします

5 [顧客 ID]にクライアント IDとクライアントシークレットのペアを作成するために使するクラウド内のアカウントの顧客 IDまたは名前をします

OTP管理とエンドユーザーログインのための Citrix Gatewayの構成

OTP管理とエンドユーザログインをうには次の順を実します

bull OTP管理のログインスキーマの作成bull 認証承認監査仮想サーバーの構成bull VPNまたは負荷分散仮想サーバーの構成bull ポリシーラベルの構成bull エンドユーザーログインのログインスキーマの作成

設定の詳細についてはネイティブ OTPサポートを参照してください

重要プッシュ通知の場合管理者は以下を明的に設定する必要があります

bull プッシュサービスを作成しますbull OTP管理のログインスキーマを作成するときは必要に応じて SingleAuthManageOTPxmlログインスキーマまたは同等のログインスキーマを選択します

bull エンドユーザーログインのログインスキーマを作成するときは必要に応じて DualAuthOrPushxmlログインスキーマまたは同等のログインスキーマを選択します

デバイスを Citrix Gatewayに登録する

プッシュ通知機能を使するにはデバイスを Citrix Gatewayに登録する必要があります

1 WebブラウザでCitrix Gatewayの FQDNを参照しFQDNに manageotpという接尾辞を付けます

認証ページが読み込まれます例httpsgatewaycompanycommanageotp

2 必要に応じてLDAPクレデンシャルまたは適切な 2要素認証メカニズムを使してログインします

3［デバイスを追加］をクリックします

4 デバイスの名前をし［実］をクリックします

Citrix Gatewayのブラウザページに QRコードが表されます


Citrix Gateway 130

5 登録するデバイスから Citrix SSOアプリを使してこの QRコードをスキャンします

Citrix SSOはQRコードを検証しプッシュ通知でゲートウェイに登録します登録プロセスにエラーがない場合トークンはパスワードトークンページに正常に追加されます

6 追加管理するデバイスがない場合はページの右上隅にあるリストを使してログアウトします

ワンタイムパスワード認証のテスト

1 OTPをテストするにはリストからデバイスをクリックし[ Test]をクリックします

2 デバイスで受信した OTPをし[ Go]をクリックします

「OTP検証に成功しました」というメッセージが表されます

3 ページの右上隅のリストを使してログアウトします

注OTP管理ポータルを使して認証のテスト登録済みデバイスの削除または追加のデバイスの登録をいつでもうことができます

Citrix Gatewayにログインします

Citrix Gatewayにデバイスを登録するとユーザーはプッシュ通知機能を使して認証をうことができます

1 Citrix Gateway認証ページに移動します（例httpsgatewaycompanycom）

ログインスキーマの構成に応じてLDAP認証情報のみをするように求められます

2 LDAPユーザー名とパスワードをし[ Submit]を選択します

登録済みのデバイスに通知が送信されます

注意 OTPを動でする場合は「クリックしてOTPを動でする」を選択し「TOTP」フィールドに OTPをする必要があります

3 登録したデバイスで Citrix SSOアプリを開き［許可］をタップします

注

bull 認証サーバは設定されたタイムアウト時間が経過するまでプッシュサーバ通知応答を待機しますタイムアウト後Citrix Gatewayはログインページを表しますその後ユーザは OTPを動でするか[再送信（Resend Notification） ]をクリックして登録されたデバイスで再度通知を受信できます選択したオプションに基づいてGatewayはした OTPを検証するか登録済みのデバイスに通知を再送信します

bull ログイン失敗に関する通知は登録されたデバイスに送信されません


Citrix Gateway 130

障害状態

bull 次の場合デバイスの登録が失敗することがありますndash サーバー証明書がエンドユーザーのデバイスによって信頼されていない可能性がありますndash OTPの登録に使された Citrix Gatewayはクライアントからアクセスできません

bull 通知は次の場合に失敗することがありますndash ユーザーデバイスがインターネットに接続されていませんndash ユーザーデバイス上の通知がブロックされるndash ユーザーがデバイス上の通知を承認しない

このような場合認証サーバは設定されたタイムアウト時間が経過するまで待機しますタイムアウト後CitrixGatewayにはログインページが表され動でOTPをするか登録済みのデバイスに通知を再送信するかを選択できます選択したオプションに基づいてさらに検証がわれます

iOSでの Citrix SSOアプリケーションの動作mdash注意すべきポイント

通知のショートカット

Citrix SSO iOSアプリにはユーザーエクスペリエンスを向上させるためのアクション可能な通知のサポートが含まれていますiOSデバイスで通知を受信した後デバイスがロックされているかCitrix SSOアプリケーションがフォアグラウンドになっていない場合ユーザーは通知に組み込まれたショートカットを使してログイン要求を承認または拒否できます

通知のショートカットにアクセスするにはデバイスのハードウェアに応じて強制的にタッチ（3Dタッチ）または押しする必要があります［ショートカットの許可］アクションを選択するとCitrix ADCにログイン要求が送信されます認証承認および監査仮想サーバーでの認証ポリシーの構成法に応じて

bull ログイン要求はアプリをフォアグラウンドで起動したりデバイスのロックを解除したりすることなくバックグラウンドで送信されることがあります

bull アプリはアプリがフォアグラウンドで起動される余分な要素としてTouch-IDFace-IDパスコードを要求することがあります

Citrix SSOからのパスワードトークンの削除

1 Citrix SSOアプリでプッシュに登録されたパスワードトークンを削除するには以下の順を実する必要があります

2 Gateway上の iOSAndroidデバイスを登録解除（削除）しますデバイスから登録を削除するための QRコードが表されます

3 Citrix SSOアプリを開き削除するパスワードトークンの情報ボタンをタップします

4「トークンの削除」をタップしQRコードをスキャンします


Citrix Gateway 130

注

bull QRコードが有効な場合トークンは Citrix SSOアプリから正常に削除されますbull 端末がすでに Gatewayから削除されている場合はQRコードをスキャンすることなく「強制削除」をタップしてパスワードトークンを削除できます強制削除をうとCitrix Gatewayからデバイスが削除されていない場合でもデバイスが通知を受信し続けることがあります


サーバ名表拡張の設定

March 26 2020

Citrix Gatewayアプライアンスはバックエンドサーバーに送信される SSL「client hello」パケットにサーバー名表（SNI）拡張を含めるように構成できるようになりましたSNI拡張はバックエンドサーバが SSLハンドシェイク中に要求されている FQDNを識別しそれぞれの証明書で応答するのに役ちます

注

複数の SSLドメインが同じサーバーでホストされている場合SNIサポートを有効にします

GUIを使して SNIをサポートするように Citrix Gatewayを構成するには


2 [グローバル設定の変更]リンクをクリックし[バックエンドサーバ SNI ]ドロップダウンから [有効]を選択します

コマンドラインインターフェイスを使して SNIをサポートするように Citrix Gatewayを構成するにはコマンドプロンプトで次のようにします

1 set vpn parameter backendServerSni ltENABLEDgtltDISABLEDgt


SSLハンドシェイク中のサーバー証明書の検証

March 26 2020

Citrix GatewayアプライアンスはSSLハンドシェイク中にバックエンドサーバーによって提供されたサーバー証明書を検証するように構成できるようになりました


Citrix Gateway 130

構成ユーティリティを使して送信プロキシの PACをサポートするように Citrix Gatewayグローバルパラメーターを構成するには

CA証明書のバインド

1［構成］gt［Citrix Gateway］ gt［Citrix Gatewayポリシーマネージャー］gt［証明書バインディング］の順に選択します

2 [証明書のバインド]画で[ + ]アイコンをクリックします3 [ CA証明書のバインド]画で[バインドの追加]をクリックし[インストール]をクリックします4「証明書ファイル名」フィールドで証明書ファイル名を選択し「インストール」をクリックします5 [ CA証明書のバインド]画で証明書を選択し[バインド]をクリックします6［完了］をクリックします

証明書検証の有効化

1［Citrix Gateway］gt［グローバル設定］に移動します2 [グローバル設定の変更]をクリックします3 [バックエンドサーバ証明書の検証]ドロップダウンメニューから [有効]を選択し[ OK ]をクリックします

コマンドラインでサーバー証明書をサポートするように Citrix Gatewayグローバルパラメーターを構成するには


1 bind vpn global cacert DNPGCA123 set vpn parameter backendcertValidation ENABLED


アドバンスポリシーを使した VPNポリシーの作成

April 9 2020

クラシックポリシーエンジン（PE）とアドバンスポリシーインフラストラクチャ（PI）はCitrix ADCが現在サポートしている 2つの異なるポリシー構成と評価フレームワークです

アドバンスポリシーインフラストラクチャは常に強な表現語で構成されています式語はポリシーのルールを定義したりアクションのさまざまな部分を定義したりサポートされているその他のエンティティを定義したりするために使できます式語はリクエストまたはレスポンスのどの部分でも解析できヘッダーとペイロードを深く調べることもできます同じ式語が展開されCitrix ADCがサポートするすべての論理モジュールを介して機能します


Citrix Gateway 130

注ポリシーの作成には度なポリシーを使することをお勧めします

従来のポリシーから度なポリシーに移する理由

度なポリシーには豊富な式セットがありクラシックポリシーよりも柔軟性に優れていますCitrix ADCは多種多様なクライアントに対応するため度なポリシーを幅に上回る表現をサポートすることが不可です詳しくは「ポリシーと式」を参照してください

以下はアドバンスポリシーのために追加された機能です

bull メッセージの本にアクセスする機能bull 多くの追加プロトコルをサポートしますbull システムの多くの追加機能にアクセスしますbull 基本的な関数演算およびデータ型のより多くの数を持っていますbull HTMLJSONおよび XMLファイルの解析に利できますbull 速な並列マルチストリングマッチング (パッチセットなど)を容易にします

これでアドバンスポリシーを使して次の VPNポリシーを設定できます

bull セッションポリシーbull 承認ポリシーbull 交通政策bull トンネルポリシーbull 監査ポリシー

またエンドポイント分析（EPA）は認証機能の nFactorとして構成できますEPAはGatewayアプライアンスに接続しようとするエンドポイントデバイスのゲートキーパーとして使されますエンドポイントデバイスに[Gateway]ログオンページが表される前にGateway管理者が設定した適格基準に応じてデバイスのハードウェアおよびソフトウェアの最要件がチェックされますGatewayへのアクセスは実されたチェックの結果に基づいて付与されます以前はEPAはセッションポリシーの部として設定されていましたnFactorにリンクできるようになりいつ実できるかについて柔軟性がまりますEPAの詳細については「エンドポイントポリシーの仕組み」を参照してくださいnFactorの詳細については「nファクタ認証」を参照してください

ユースケース

度な EPAを使した事前認証 EPA

認証前 EPAスキャンはユーザーがログオン資格情報をする前に実されます認証要素の 1つとして事前認証EPAスキャンを使した nFactor認証の Citrix Gatewayの構成についてはCTX224268トピックを参照してください


Citrix Gateway 130

度な EPAを使した認証後の EPA

認証後 EPAスキャンはユーザーの資格情報が確認された後にわれます従来のポリシーインフラストラクチャでは認証後の EPAがセッションポリシーまたはセッションアクションの部として構成されました[度なポリシーインフラストラクチャ]ではEPAスキャンを Nファクタ認証の EPAファクタとして構成します認証後の EPAスキャンを認証要素の 1つとして使して n要素認証をうための Citrix Gatewayの構成についてはCTX224303トピックを参照してください

度なポリシーを使した事前認証および認証後の EPA

EPAは認証前および認証後で実できます事前認証および認証後の EPAスキャンを使した nFactor認証のCitrix Gatewayの構成についてはCTX231362トピックを参照してください

nFactor認証の要素としての定期的な EPAスキャン

クラシックポリシーインフラストラクチャでは定期的な EPAスキャンがセッションポリシーアクションの部として構成されました度なポリシーインフラストラクチャではNファクタ認証の EPAファクタの部として構成できます

nFactor認証の要素として定期的な EPAスキャンを構成する法の詳細についてはCTX231361トピックをクリックしてください


トラブルシューティングの際は次の点に留意してください

bull 同じタイプのクラシックポリシーとアドバンスポリシー（セッションポリシーなど）は同じエンティティバインドポイントにバインドできません

bull すべての PIポリシーではプライオリティは必須ですbull VPNのアドバンスポリシーはすべてのバインドポイントにバインドできますbull 同じ優先度を持つアドバンスポリシーは単のバインドポイントにバインドできますbull 設定された認可ポリシーがいずれもヒットしない場合はVPNパラメータで設定されたグローバル認可アクションが適されます

bull 認可ポリシーでは認可規則が失敗しても認可アクションは取り消されません

クラシックポリシーでよく使される度なポリシーの等価式

従来のポリシー表現アドバンスポリシー式

ns_true true

ns_false false

REQHTTP HTTPREQ


Citrix Gateway 130


RESHTTP HTTPRES

HEADER ldquofoordquo HEADER(ldquofoordquo)

CONTAINS rdquobarrdquo CONTAINS(ldquobarrdquo) [Note use of ldquordquo]

REQIP CLIENTIP

RESIP SERVERIP

SOURCEIP SRC

DESTIP DST

REQTCP CLIENTTCP

RESTCP SERVERTCP

SOURCEPORT SRCPORT

DESTPORT DSTPORT

STATUSCODE STATUS

REQSSLCLIENTCERT CLIENTSSLCLIENT_CERT


テンプレートを使した簡略化された SaaSアプリケーション設定

March 26 2020

Citrix Gatewayでのシングルサインオンによる SaaSアプリケーションの構成は般的な SaaSアプリケーションのテンプレートドロップダウンメニューを Provisioningすることで簡素化されます設定する SaaSアプリはメニューから選択できますこのテンプレートはアプリケーションの構成に必要な多くの情報をあらかじめしていますただしお客様に固有の情報を提供する必要があります

注以下のセクションではテンプレートを使してアプリケーションを構成および公開するために CitrixGatewayで実する順について説明しますアプリケーションサーバーで実する設定順については以降のセクションで説明します


Citrix Gateway 130

テンプレートを使したアプリケーションの構成と公開-Citrix Gateway固有の構成

以下の設定ではテンプレートを使してアプリケーションを設定および発する例として AWSコンソールアプリケーションを使します

開始する前に次のものが必要です

bull AWSコンソールの管理者アカウント

bull Citrix Gatewayの管理者アカウント

AWSコンソールの設定順は次のとおりです

1 アプリケーションカタログを使して AWSコンソールを設定します

2 Citrix ADCから AWSコンソールの IdPメタデータをエクスポートします

3 AWSコンソールで IdPを設定します

ステップ 1 アプリケーションカタログで AWSコンソールを設定する

1 [ Unified Gateway] gt [認証]をクリックします

[Unified Gatewayの設定]画が表されます

2 [アプリケーション]セクションで[編集]アイコンをクリックしますさてプラスアイコンをクリックします[アプリケーション]ウィンドウが表されます

3 [アプリケーションタイプ]から [ SaaS ]を選択します

4 ドロップダウンリストから [ AWSコンソール]を選択します

5 アプリケーションテンプレートに適切な値をします

6 次の SAML設定の詳細をし[ Continue]をクリックします

サービスプロバイダ ID mdashhttpssigninawsamazoncomsaml

署名証明書名mdash IdP証明書を選択する必要があります

発者名 -発者名はあなたの選択に従って記することができます

属性 1 mdashhttpsawsamazoncomSAMLAttributesRole

属性 1の式mdashステップ 3にすようにロール ARNIdP ARN


ステップ 2 Citrix Gatewayから AWSコンソールの IdPメタデータをエクスポートします


Citrix Gateway 130


2 下にスクロールしてAWSコンソールテンプレートをクリックします[SaaSアプリケーション]ウィンドウが表されます[エクスポート]リンクをクリックします

3 メタデータが別のウィンドウで開きますIdPメタデータファイルの保存

ステップ 3 AWSコンソールへの IdPの設定

テンプレートを使したアプリの構成と公開-アプリサーバー固有の構成

以下はテンプレートを使して般的な SaaSアプリを構成および公開するためのアプリサーバー固有の構成に関するガイダンスを持っている pdfのリンクです

bull 15Five

bull Absorb

bull Accompa

bull Adobe Captivate Prime

bull Adobe Creative Cloud

bull Aha

bull Alertops

bull Allocadia

bull Ariba

bull Assembla

bull AWSコンソール

bull BambooHR

bull Base CRM

bull BitaBIZ

bull Bluejeans

bull Blissbook

bull Bonusly

bull Box

bull Bugsnag

bull Buildkite

bull CakeHR


Citrix Gateway 130

bull Cardboard

bull Cedexis

bull Celoxis

bull Cisco Meraki

bull ClearSlide

bull CloudCheckr

bull ConceptShare

bull Concur

bull Confluence

bull Contactzilla

bull Convo

bull Criconus

bull Dashlane

bull Datadog

bull Deskpro

bull Deputy

bull DigiCert

bull Docusign

bull Domo

bull Dropbox

bull Duo

bull efront

bull Ekarda

bull Envoy

bull ERP

bull Expensify

bull EZOfficeInventory

bull EZRentOut

bull Favro


Citrix Gateway 130

bull Federated Directory

bull Feedly

bull Fivetran

bull Flatter Files

bull Flowdock

bull Freshdesk

bull Front

bull G-Suite

bull GitHub

bull GlassFrog

bull GotoMeeting

bull Happyfox

bull Helpjuice

bull Help Scout

bull Hoshinplan

bull Humanity

bull Igloo

bull Illumio

bull Image Relay

bull iMeet Central

bull InteractGo

bull iQualify One

bull Jira

bull Kanban Tool

bull Keeper Security

bull Kentik

bull Kentik

bull Kissflow

bull KnowBe4


Citrix Gateway 130

bull KnowledgeOwl

bull Kudos

bull LaunchDarkly

bull Lifesize

bull Litmos

bull LiquidPlanner

bull LogDNA

bull Mango

bull Manuscript

bull Marketo

bull Mingle

bull Mixpanel

bull MuleSoft

bull MyWebTimesheets

bull New Relic

bull Nmbrs

bull Nuclino

bull Office365

bull OneDesk

bull OpsGenie

bull Orginio

bull Pagerduty

bull Panorama9

bull ParkMyCloud

bull Peakon

bull People HR

bull Pingboard

bull Pipedrive

bull PlanMyLeave


Citrix Gateway 130

bull PlayVox

bull Podio

bull ProdPad

bull Protoio

bull Proxyclick

bull PurelyHR

bull Quandora

bull Rackspace

bull RealtimeBoard

bull Remedyforce

bull Robin

bull Rollbar

bull Salesforce

bull Samanage

bull Samepage

bull Sentry

bull ServiceDesk Plus

bull ServiceNow

bull Shufflrr

bull Skeddly

bull Skills Base

bull Slack

bull Slemma

bull Slido

bull Smartsheet

bull Spoke

bull Spotinst

bull SproutVideo

bull StatusCast


Citrix Gateway 130

bull Status Hero

bull Statushub

bull Statuspage

bull Sumologic

bull Supermood

bull Syncplicity

bull Tableau

bull Targetprocess

bull Teamphoria

bull Testable

bull TestFairy

bull TextExpander

bull TextMagic

bull ThousandEyes

bull Thycotic Secret server

bull Tinfoil Security

bull Trisotech

bull Trumba

bull TwentyThree

bull Unifi

bull UserEcho

bull UserVoice

bull Velpic

bull VictorOps

bull Vidizmo

bull Visual Paradigm

bull Weekdone

bull Wepow

bull When I Work


Citrix Gateway 130

bull Workday

bull Workpath

bull Workplace

bull Workstars

bull Workteam

bull XaitPorter

bull Ximble

bull XMatters

bull Yodeck

bull Zendesk

bull Zivver

bull Zoho-one

bull Zivver

bull Zoom


EPAコンポーネントとしての nFactorでのデバイス証明書

March 26 2020

デバイス証明書はnFactorで EPAコンポーネントとして設定できますデバイス証明書はEPAの部として任意の要素として表できます

以下はEPAコンポーネントとして nFactorでデバイス証明書を構成する利点です

bull デバイス証明書の検証に失敗してもログオンエラーは発しません構成に基づいてログオンを続しアクセスを制限されたグループの下にユーザーを配置することができます

bull デバイス証明書のチェックはポリシーによって決定されるためデバイス証明書の認証に基づいて社内のイントラネットリソースへのアクセスを選択的に許可またはブロックできますたとえばデバイス証明書認証は企業で管理されているラップトップ上でのみの Office 365アプリケーションへの条件付きアクセスを提供するために使できます

デバイス証明書の検証を定期的な EPAスキャンに含めることはできません


Citrix Gateway 130

重要 Windowsではデフォルトでデバイス証明書にアクセスするための管理者権限が義務されています管理者以外のユーザーのデバイス証明書チェックを追加するにはデバイスに EPAプラグインと同じバージョンの VPNプラグインをインストールする必要があります

デバイス証明書を NFactorで EPAコンポーネントとして構成する

コマンドラインインターフェイスを使して nFactorのデバイス証明書を EPAコンポーネントとして構成するにはコマンドプロンプトで次のようにします

1 add authentication epaAction epa-act -csecexpr sysclient_expr(rdquodevice-cert_0_0rdquo) -defaultgroup epa_pass -quarantine_group epa_fail

Citrix ADC GUIを使してVPN仮想サーバーの EPAコンポーネントとして nFactorのデバイス証明書を構成するには

1 NetScaler GUIで「構成」gt「Citrix Gateway」gt「仮想サーバー」の順に選択します

2［Citrix Gateway仮想サーバー］ページで変更する仮想サーバーを選択し［編集］をクリックします

3 [ VPN仮想サーバー]ページで[編集]アイコンをクリックします


5 [デバイス証明書の CA]セクションの横にある [追加]をクリックし[OK]をクリックします

[デバイス証明書を有効にする]チェックボックスは選択しないでくださいこれを有効にすると従来の EPAでデバイス証明書の検証が有効になります

6 NetScaler GUIで「構成」gt「セキュリティ」gt「AAA」mdash「アプリケーショントラフィック」gt「ポリシー」gt「認証」gt「度なポリシー」gt「アクション」gt「EPAgt」の順に選択します

7 [認証 EPAアクション]ページで[追加]をクリックします[ Edit ]をクリックすると既存の EPAアクションを編集できます

8 [認証 EPAアクションの作成]ページで認証 EPAアクションを作成するために必要なフィールドの値をし[ EPAエディタ]リンクをクリックします

9 [式エディタ]リストから [ 共通]を選択します

10 表される次のリストから [デバイス証明書]を選択し[完了]をクリックして設定を完了します

Citrix ADC GUIを使してnFactorでデバイス証明書を AAA仮想サーバの EPAコンポーネントとして構成するには次の順を実します

1 Citrix DC GUIで「セキュリティ」gt「AAAアプリケーショントラフィック」gt「仮想サーバー」の順に選択します



Citrix Gateway 130

3 [認証仮想サーバー]ページで[編集]アイコンをクリックします


5 [デバイス証明書の CA ]セクションの横にある [追加]をクリックします

6 追加する証明書を選択し[ OK ]をクリックして構成を完了します

7 前のセクションでした順 6〜 10を繰り返して設定を完了します



Citrix Gateway 130


LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States

copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of

Citrix Systems Inc andor one or more of its subsidiaries and may be registered with the US Patent and Trademark Office

and in other countries All other marks are the property of their respective owner(s)


Citrix Gateway のリリースノート

Citrix Gateway について

Citrix Gateway アーキテクチャ


一般的な展開

DMZ でのデプロイ



Citrix Gateway プラグインのシステム要件



ライセンス

Citrix Gateway のライセンスの種類

プラットフォームまたはユニバーサルライセンスファイルの入手

Citrix Gateway にライセンスをインストールするには


よくある質問

はじめに


前提条件




Citrix Gateway の構成

構成ユーティリティの使用

Citrix Gateway のポリシーとプロファイル




Citrix Gateway でのポリシーの作成




ポリシー式での演算子と演算子の使用

Citrix Gateway の構成設定の表示



ウィザードを使用したCitrix Gateway の構成

初回セットアップウィザードを使用したCitrix Gateway の構成

Configuring Settings with the Quick Configuration Wizard

Citrix Gateway ウィザードを使用した設定の構成

Citrix Gateway でのホスト名および完全修飾ドメインDNの構成



Citrix Gateway への署名付き証明書のインストール


認証にデバイス証明書を使用する


証明書を PFX 形式から PEM 形式に変換する


OCSP による証明書ステータスのモニタリング

OCSP 証明書ステータスの設定

Citrix Gateway 構成のテスト





Citrix Gateway でのIPアドレスの構成

マッピングされた IP アドレスの変更または削除

サブネット IP アドレスの設定

ユーザ接続用の IPv6 の設定

セキュリティで保護されたネットワークにある DNS サーバーの解決

DNS 仮想サーバの構成



Citrix Gateway でのルーティングの構成

自動ネゴシエーションの設定

認証と承認



認可の設定



認証の無効化









グループを使用したポリシーの設定

LDAP認証の構成

構成ユーティリティを使用して LDAP 認証を構成するには

LDAP ディレクトリ内の属性の決定

LDAP グループ抽出の設定

LDAP グループ抽出のユーザーオブジェクトからの直接の動作

LDAP グループ抽出がグループオブジェクトから間接的に機能する方法

LDAP 認可グループのアトリビュートフィールド

LDAP 認可を設定するには

LDAP ネストされたグループ抽出の設定

複数のドメインに対する LDAP グループ抽出の設定


複数のドメインの LDAP 認証ポリシーの作成

複数のドメインの LDAP グループ抽出のためのグループとバインディングポリシーの作成



2 要素クライアント証明書認証の設定





RADIUS 認証プロトコルの選択

IP アドレス抽出の設定

RADIUS グループ抽出の設定

RADIUS 認可を設定するには

RADIUS ユーザアカウンティングの設定

SAML認証の構成

SAML 認証を設定するには

SAML認証を使用してCitrix Gateway にログインする

SAML 認証の認証の改善

TACACS+ 認証の設定

基本設定のクリアTACACS 設定をクリアしない



2 要素認証の設定


クライアント証明書および LDAP 2 要素認証の設定


Windows でのシングルサインオンの設定


LDAPを使用したWebアプリケーションへのシングルサインオンの構成



ワンタイムパスワードの使用の設定

RSA セキュリティ ID 認証の設定

RADIUS を使用したパスワードリターンの設定





モバイルタブレットデバイスでRADIUS認証とLDAP認証を使用するようにCitrix Gateway を構成する

VPN ユーザエクスペリエンスの設定

Citrix Gateway プラグインでのユーザー接続のしくみ

セキュアトンネルの確立


Citrix Gateway プラグインのアップグレード制御

Citrix Gateway で完全なVPNセットアップを構成する

ユーザーアクセス方式の選択

ユーザーアクセス用のCitrix Gateway プラグインの展開

ユーザー用のCitrix Gateway プラグインの選択

Windows用のCitrix Gateway プラグインのインストール

Active Directory からのCitrix Gateway プラグインの展開

Active Directory を使用したCitrix Gateway プラグインのアップグレードと削除

Active Directory を使用したCitrix Gateway プラグインのインストールのトラブルシューティング

Java用Citrix Gateway プラグインを使用した接続

Citrix GatewayプラグインとCitrix Workspace アプリの統合

ユーザー接続と Citrix Workspace アプリの仕組み

Citrix WorkspaceアプリへのCitrix Gatewayプラグインの追加

Citrix Workspace アプリのアイコンの切り離し

ICA接続用のIPv6の構成

CitrixCitrix Gateway でのCitrix Workspace アプリのホームページの構成

ログオンページへのReceiverテーマの適用





Web アドレスのエンコーディング



Citrix Gateway を使用した高度なクライアントレスVPNアクセス



SharePoint サイトをホームページとして設定する

SharePoint 2007 サーバーの名前解決を有効にする

クライアントレスアクセスパーシステント Cookie の有効化

SharePoint のクライアントレスアクセス用の永続的な Cookie の構成

Web Interfaceを使用したクライアントレスアクセスのユーザ設定の保存


ログオン時のクライアント選択ページの表示




Citrix Gateway プラグインの接続を構成する








Citrix Gateway プラグイン用のイントラネットアプリケーションの構成

Java用Citrix Gateway プラグイン用のイントラネットアプリケーションの構成






VoIP 電話のサポート

Java用Citrix Gateway プラグインのアプリケーションアクセスの構成




Web リンクとファイル共有リンクの作成と適用





SAML シングルサインオンの設定






StoreFront のCitrix Gateway セッションポリシーの構成

エンタープライズブックマークの高度なポリシーサポート
























高度なエンドポイント分析スキャン

高度なエンドポイント分析スキャンの設定

高度なエンドポイント分析ポリシー式リファレンス

高度なエンドポイント分析スキャンのトラブルシューティング


AlwaysON

Windows ログオン前にAlwaysON VPN (正式には AlwaysOn サービス)

Windows ログオン前にAlwaysONの VPN を構成する


Unified Gateway に関する FAQ

ダブルホップDMZでの展開

ダブルホップDMZでのCitrix Gateway の展開


ダブルホップDMZ配置における通信フロー




接続の完了

ダブルホップ DMZ 配置の準備

ダブルホップDMZでのCitrix Gateway のインストールと構成

Citrix Gateway プロキシ上の仮想サーバーでの設定の構成


STAトラフィックとICAトラフィックを処理するようにCitrix Gateway を構成する


ダブルホップ DMZ 配置での SSL 証明書の管理

高可用性の使用

高可用性の仕組み

高可用性の設定

RPC ノードのパスワードの変更

プライマリアプライアンスとセカンダリアプライアンスの高可用性の構成


Citrix Gateway アプライアンスの同期

高可用性セットアップでの構成ファイルの同期




仮想 MAC アドレスの設定

IPv4 仮想 MAC アドレスの設定

IPv4 仮想 MAC アドレスの作成または変更


IPv6 用の仮想 MAC アドレスの作成または変更

異なるサブネットでの高可用性ペアの設定




リンク冗長性の設定


ノードからのフェイルオーバーの強制実行

プライマリまたはセカンダリノードでのフェイルオーバーの強制実行



クラスタリングの使用






Citrix Gateway での監査の構成

Citrix Gateway でのログの設定

ACL ロギングの設定

Citrix Gateway プラグインのログ記録の有効化


Citrix 製品との統合

ユーザーがアプリケーションデスクトップShareFileに接続する方法

Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使用した展開

Web Interfaceを使用したCitrix Virtual Apps and Desktops リソースへのアクセス

Citrix Gateway とCitrix Virtual Apps and Desktops の統合

サーバファームへのセキュアな接続の確立

Web Interfaceを使用したデプロイ

セキュアネットワークでの Web Interfaceの展開

DMZでのCitrix Gateway と並行してWebインターフェイスを展開する

DMZでのCitrix Gateway の背後にあるWebインターフェイスの展開




Web Interface 54 サイトの作成

Citrix Web Interface管理コンソールを使用したサイトの構成

Web Interface54でのCitrix Gateway 設定の構成



単一のサイトへのCitrix Virtual Apps and Desktops の追加

Citrix Gateway を介したユーザー接続のルーティング




Citrix Gateway でのSecure Ticket Authorityの構成

Citrix Gateway での追加のWeb Interface設定の構成


Web Interfaceを使用したスマートカードアクセスの構成

Web InterfaceでのアプリケーションおよびVirtual Desktops へのアクセスの構成

SmartAccess 設定

Citrix Virtual Apps and Desktops での SmartAccess のしくみ

Citrix Virtual Apps ポリシーとフィルターの構成

SmartAccess のセッションポリシーを構成するには

Citrix Virtual Apps でのユーザーデバイスマッピングの構成


Citrix XenApp 65で非制限ポリシーを構成するには

隔離アクセス方法としてのCitrix Virtual Apps 有効化


SmartAccess 用のCitrix Virtual Desktops の構成

Citrix Virtual Desktops を使用したSmartAccessのセッションポリシーを構成するには

Citrix Virtual Desktops でポリシーとフィルターを構成するには 5

デスクトップDelivery Controller を STA として追加するには



Web アプリケーションへのシングルサインオンをグローバルに設定するには

セッションポリシーを使用して Web アプリケーションへのシングルサインオンを構成するには

Web アプリケーションへのシングルサインオン用の HTTP ポートを定義するには



スマートカードを使用した Web Interfaceへのシングルサインオンの構成

スマートカードを使用してシングルサインオン用にクライアント証明書を構成するには

Citrix Virtual Apps ファイル共有のシングルサインオンを構成するには



ファイルタイプの関連付けのためのCitrix Gateway の構成


Citrix Gateway とStoreFront の統合

Citrix Endpoint Management 環境の設定の構成

Citrix Endpoint Management またはCitrix XenMobileサーバー用の負荷分散サーバーの構成

電子メールセキュリティフィルタリングを使用した Microsoft Exchange 用のロードバランシングサーバーの構成

Citrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSync フィルタリングの構成

Citrix モバイル生産性アプリを使用したモバイルデバイスからのアクセスの許可

Citrix Endpoint Management のためのドメインおよびセキュリティトークン認証の構成


CloudBridge によるネットワークトラフィックの最適化

Gateway UX 設定での RfWebUI パーソナ

RDPプロキシ

ステートレス RDP プロキシ

RDP 接続リダイレクト

LDAP 属性に基づいて RDP URL を設定する

RDP プロキシを使用して RDP ファイル名をランダム化する

RDP アプリのファイル名を構成する

Citrix Gateway がVMwareホライゾンビューに対してPCoIPプロキシサポートを有効にしました

VMWare Horizon ビューの Citrix Gateway が有効になっている PCoIP プロキシの構成

VMware Horizon View 接続サーバの構成


Enlightened Data Transport サポートを使用するタイミング

EDTおよびHDX InsightをサポートするようにCitrix Gatewayを構成

L7 遅延しきい値


統合 Intune MDM ソリューションを使用するタイミング

Citrix GatewayとIntune MDMの統合について

単一要素ログイン用のCitrix Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成

Azure ADAL トークン認証について

Microsoft ADALトークン認証用のCitrix Gateway 仮想サーバーの構成

MicrosoftエンドポイントマネージャーでマイクロVPNを使用するためのCitrix Gateway のセットアップ

UDP トラフィックに対するサービスサポートのタイプ

Citrix Gateway でのアウトバウンドプロキシのプロキシ自動構成サポート

アウトバウンドICAプロキシのサポート

アウトバウンドICAプロキシの構成


認証のネイティブ OTP サポート

OTP のプッシュ通知

サーバ名表示拡張の設定

SSL ハンドシェイク中のサーバー証明書の検証

アドバンスポリシーを使用した VPN ポリシーの作成

テンプレートを使用した簡略化された SaaS アプリケーション設定

EPA コンポーネントとしての nFactor でのデバイス証明書

Citrix Gateway 130

Contents

Citrix Gatewayのリリースノート 3

Citrix Gatewayについて 3

Citrix Gatewayアーキテクチャ 4

ユーザー接続の仕組み 6

般的な展開 8

DMZでのデプロイ 9

セキュリティで保護されたネットワークでの展開 10

クライアントソフトウェアの要件 10

Citrix Gatewayプラグインのシステム要件 11

エンドポイント分析の要件 12

Citrix製品との互換性 14

ライセンス 15

Citrix Gatewayのライセンスの種類 16

プラットフォームまたはユニバーサルライセンスファイルの 17

Citrix Gatewayにライセンスをインストールするには 18

ユニバーサルライセンスのインストールの確認 19

よくある質問 20

はじめに 22

セキュリティの計画 23

前提条件 25

インストール前のチェックリスト 25

アップグレードしています 31

システムのインストール 32


Citrix Gateway 130


構成ユーティリティの使 34

Citrix Gatewayのポリシーとプロファイル 34

ポリシーのしくみ 35

ポリシーの優先順位の設定 36

条件付きポリシーの設定 36

Citrix Gatewayでのポリシーの作成 37

システム式の設定 37

単純な式と複合式を作成する 38

カスタム式の追加 39

ポリシー式での演算と演算の使 39

Citrix Gatewayの構成設定の表 45

Citrix Gateway構成の保存 45

Citrix Gateway構成のクリア 47

ウィザードを使した Citrix Gatewayの構成 47

初回セットアップウィザードを使した Citrix Gatewayの構成 50

Configuring Settings with the Quick ConfigurationWizard 51

Citrix Gatewayウィザードを使した設定の構成 55

Citrix Gatewayでのホスト名および完全修飾ドメイン DNの構成 56

証明書のインストールと管理 56

証明書署名要求の作成 57

Citrix Gatewayへの署名付き証明書のインストール 58

中間証明書の構成 59

認証にデバイス証明書を使する 60


Citrix Gateway 130

既存の証明書のインポートとインストール 62

証明書を PFX形式から PEM形式に変換する 63

証明書失効リスト 65

OCSPによる証明書ステータスのモニタリング 69

OCSP証明書ステータスの設定 71

Citrix Gateway構成のテスト 72

仮想サーバーの作成 73

追加の仮想サーバーを作成するには 74

仮想サーバでの接続タイプの設定 74

ワイルドカード仮想サーバに対するリッスンポリシーの設定 75

Citrix Gatewayでの IPアドレスの構成 77

マッピングされた IPアドレスの変更または削除 78

サブネット IPアドレスの設定 78

ユーザ接続の IPv6の設定 79

セキュリティで保護されたネットワークにある DNSサーバーの解決 80

DNS仮想サーバの構成 81

ネームサービスプロバイダの設定 82

サーバ起動接続の構成 83

Citrix Gatewayでのルーティングの構成 84

動ネゴシエーションの設定 86

認証と承認 87

デフォルトのグローバル認証タイプの設定 87

認可なしの認証の設定 89

認可の設定 89


Citrix Gateway 130

認可ポリシーの設定 89

デフォルトのグローバル認可の設定 91

認証の無効化 92

特定の時間に対する認証の設定 92

認証ポリシーのしくみ 93

認証プロファイルの設定 94

認証ポリシーのバインド 95

認証ポリシーの優先順位の設定 96

ローカルユーザの構成 97

グループの構成 98

グループへのユーザーの追加 99

グループを使したポリシーの設定 99

LDAP認証の構成 100

構成ユーティリティを使して LDAP認証を構成するには 102

LDAPディレクトリ内の属性の決定 104

LDAPグループ抽出の設定 105

LDAPグループ抽出のユーザーオブジェクトからの直接の動作 105

LDAPグループ抽出がグループオブジェクトから間接的に機能する法 106

LDAP認可グループのアトリビュートフィールド 106

LDAP認可を設定するには 106

LDAPネストされたグループ抽出の設定 107

複数のドメインに対する LDAPグループ抽出の設定 108

グループ抽出のセッションポリシーの作成 109

複数のドメインの LDAP認証ポリシーの作成 110


Citrix Gateway 130

複数のドメインの LDAPグループ抽出のためのグループとバインディングポリシーの作成 111

クライアント証明書認証の構成 112

クライアント証明書認証ポリシーの構成およびバインド 113

2要素クライアント証明書認証の設定 114

スマートカード認証の構成 114

共通アクセスカードの設定 116

RADIUS認証の構成 117

RADIUS認証を構成するには 118

RADIUS認証プロトコルの選択 119

IPアドレス抽出の設定 119

RADIUSグループ抽出の設定 120

RADIUS認可を設定するには 123

RADIUSユーザアカウンティングの設定 123

SAML認証の構成 126

SAML認証を設定するには 129

SAML認証を使して Citrix Gatewayにログインする 130

SAML認証の認証の改善 131

TACACS+認証の設定 133

基本設定のクリアTACACS設定をクリアしない 134

多要素認証の設定 135

カスケード認証の設定 136

2要素認証の設定 137

シングルサインオンの認証タイプの選択 138

クライアント証明書および LDAP 2要素認証の設定 138


Citrix Gateway 130

シングルサインオンの設定 141

Windowsでのシングルサインオンの設定 141

Webアプリケーションへのシングルサインオンの構成 142

LDAPを使したWebアプリケーションへのシングルサインオンの構成 144

ドメインへのシングルサインオンの設定 145

Microsoft Exchange 2010でシングルサインを構成する 145

ワンタイムパスワードの使の設定 147

RSAセキュリティ ID認証の設定 148

RADIUSを使したパスワードリターンの設定 149

Configuring SafeWord Authentication 150

Gemalto Protiva認証の設定 151

Gateway認証の nFactor 151

Unified Gateway Visualizer 168

モバイルタブレットデバイスで RADIUS認証と LDAP認証を使するように Citrix Gatewayを構成する 173

VPNユーザエクスペリエンスの設定 175

Citrix Gatewayプラグインでのユーザー接続のしくみ 176

セキュアトンネルの確 177

ファイアウォールとプロキシを介した操作 178

Citrix Gatewayプラグインのアップグレード制御 178

Citrix Gatewayで完全な VPNセットアップを構成する 181

ユーザーアクセス式の選択 187

ユーザーアクセスの Citrix Gatewayプラグインの展開 188

ユーザーの Citrix Gatewayプラグインの選択 190

Windowsの Citrix Gatewayプラグインのインストール 192


Citrix Gateway 130

Active Directoryからの Citrix Gatewayプラグインの展開 193

Active Directoryを使した Citrix Gatewayプラグインのアップグレードと削除 195

Active Directoryを使した Citrix Gatewayプラグインのインストールのトラブルシューティング 196

Java Citrix Gatewayプラグインを使した接続 196

Citrix Gatewayプラグインと Citrix Workspaceアプリの統合 198

ユーザー接続と Citrix Workspaceアプリの仕組み 199

Citrix Workspaceアプリへの Citrix Gatewayプラグインの追加 199

Citrix Workspaceアプリのアイコンの切り離し 202

ICA接続の IPv6の構成 203

CitrixCitrix Gatewayでの Citrix Workspaceアプリのホームページの構成 204

ログオンページへの Receiverテーマの適 205

ログオンページのカスタムテーマの作成 206

ユーザーポータルのカスタマイズ 207

クライアントレスアクセスの設定 215

クライアントレスアクセスの有効化 216

Webアドレスのエンコーディング 217

クライアントレスアクセスポリシーのしくみ 218

新しいクライアントレスアクセスポリシーの作成 220

Citrix Gatewayを使した度なクライアントレス VPNアクセス 221

ユーザーのドメインアクセスの構成 223

クライアントレスアクセスの構成 224

SharePointサイトをホームページとして設定する 225

SharePoint 2007サーバーの名前解決を有効にする 225

クライアントレスアクセスパーシステント Cookieの有効化 226


Citrix Gateway 130

SharePointのクライアントレスアクセスの永続的な Cookieの構成 227

Web Interfaceを使したクライアントレスアクセスのユーザ設定の保存 228

クライアント選択ページの設定 229

ログオン時のクライアント選択ページの表 230

クライアント選択オプションの構成 231

アクセスシナリオフォールバックの設定 233

アクセスシナリオフォールバックのポリシーの作成 234

Citrix Gatewayプラグインの接続を構成する 237

ユーザセッション数の設定 238

タイムアウト設定の構成 238

強制タイムアウトの設定 239

セッションまたはアイドルタイムアウトの設定 240

内部ネットワークリソースへの接続 241

分割トンネリングの構成 242

クライアントインターセプションの設定 244

Citrix Gatewayプラグインのイントラネットアプリケーションの構成 244

Java Citrix Gatewayプラグインのイントラネットアプリケーションの構成 246

ネームサービス解決の設定 247

ユーザ接続のプロキシサポートの有効化 248



アドレスプールオプションの定義 252

VoIP電話のサポート 254

Java Citrix Gatewayプラグインのアプリケーションアクセスの構成 255


Citrix Gateway 130

アクセスインターフェイスの設定 257

アクセスインタフェースのカスタムホームページへの置換 257

アクセスインターフェイスの変更 258

Webリンクとファイル共有リンクの作成と適 259

ブックマークでのユーザー名トークンの設定 260

トラフィックポリシーの仕組み 261

トラフィックポリシーの作成 261

フォームベースのシングルサインオンの設定 263

SAMLシングルサインオンの設定 264

トラフィックポリシーのバインディング 265

トラフィックポリシーの削除 265

セッションポリシーの設定 266

セッションプロファイルの作成 267

セッションポリシーのバインド 270

StoreFrontの Citrix Gatewayセッションポリシーの構成 270

エンタープライズブックマークの度なポリシーサポート 274

エンドポイントポリシーの設定 277

エンドポイントポリシーのしくみ 277

ユーザーログオンオプションの評価 279

事前認証ポリシーのプライオリティの設定 280

事前認証ポリシーおよびプロファイルの設定 280

エンドポイント分析式の設定 282

カスタム式の設定 283

複合式を設定する 284


Citrix Gateway 130

事前認証ポリシーのバインド 285

事前認証ポリシーのバインド解除と削除 286



認証後スキャンの頻度の設定 288

検疫および認可グループの設定 289

隔離グループの設定 289

認可グループの設定 290

ユーザデバイスのセキュリティ事前認証式の設定 291

ウイルス対策ファイアウォールインターネットセキュリティまたはスパム対策の式を構成する 292

サービスポリシーの設定 293

プロセスポリシーの設定 294

オペレーティングシステムポリシーの構成 295

レジストリポリシーの構成 297

複合クライアントセキュリティ式の設定 299

度なエンドポイント分析スキャン 302

度なエンドポイント分析スキャンの設定 302

度なエンドポイント分析ポリシー式リファレンス 307

度なエンドポイント分析スキャンのトラブルシューティング 315

ユーザーセッションの管理 315

AlwaysON 317

Windowsログオン前に AlwaysON VPN (正式には AlwaysOnサービス) 322

Windowsログオン前に AlwaysONの VPNを構成する 323



Citrix Gateway 130

Unified Gatewayに関する FAQ 330

ダブルホップ DMZでの展開 339

ダブルホップ DMZでの Citrix Gatewayの展開 340

ダブルホップ展開の仕組み 340

ダブルホップ DMZ配置における通信フロー 341

ユーザーの認証 342

セッションチケットの作成 343

Citrix Workspaceアプリの起動 343

接続の完了 344

ダブルホップ DMZ配置の準備 345

ダブルホップ DMZでの Citrix Gatewayのインストールと構成 346

Citrix Gatewayプロキシ上の仮想サーバーでの設定の構成 347

アプライアンスのプロキシと通信するためのアプライアンスの設定 348

STAトラフィックと ICAトラフィックを処理するように Citrix Gatewayを構成する 349

ファイアウォールで適切なポートを開く 350

ダブルホップ DMZ配置での SSL証明書の管理 352

可性の使 354

可性の仕組み 355

可性の設定 356

RPCノードのパスワードの変更 358

プライマリアプライアンスとセカンダリアプライアンスの可性の構成 359

通信間隔の構成 360

Citrix Gatewayアプライアンスの同期 360

可性セットアップでの構成ファイルの同期 362


Citrix Gateway 130

コマンド伝播の設定 362

コマンド伝播のトラブルシューティング 363

フェールセーフモードの設定 364

仮想MACアドレスの設定 366


IPv4仮想MACアドレスの作成または変更 367


IPv6の仮想MACアドレスの作成または変更 368

異なるサブネットでの可性ペアの設定 369

リモートノードの追加 371

ルートモニタの設定 372

ルートモニタの追加または削除 374

リンク冗性の設定 375

フェイルオーバーの原因の理解 376

ノードからのフェイルオーバーの強制実 377

プライマリまたはセカンダリノードでのフェイルオーバーの強制実 377

プライマリノードを強制的にプライマリに留める 378

セカンダリノードを強制的にセカンダリ状態にする 378

クラスタリングの使 379

クラスタリングの構成 380

システムのメンテナンスとモニタリング 384

委任された管理者の構成 384

委任された管理者のコマンドポリシーの設定 385

委任された管理者のカスタムコマンドポリシーの設定 386


Citrix Gateway 130

Citrix Gatewayでの監査の構成 388

Citrix Gatewayでのログの設定 389

ACLロギングの設定 391

Citrix Gatewayプラグインのログ記録の有効化 392

ICA接続を監視するには 393

Citrix製品との統合 394

ユーザーがアプリケーションデスクトップShareFileに接続する法 395

Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使した展開 396

Web Interfaceを使した Citrix Virtual Apps and Desktopsリソースへのアクセス 397


サーバファームへのセキュアな接続の確 398

Web Interfaceを使したデプロイ 400

セキュアネットワークでのWeb Interfaceの展開 401

DMZでの Citrix Gatewayと並してWebインターフェイスを展開する 402

DMZでの Citrix Gatewayの背後にあるWebインターフェイスの展開 402

Web Interfaceサイトの動作設定 403

Web Interfaceの機能 403

Web Interfaceのサイトのセットアップ 404


Citrix Web Interface管理コンソールを使したサイトの構成 406




単のサイトへの Citrix Virtual Apps and Desktopsの追加 411


Citrix Gateway 130

Citrix Gatewayを介したユーザー接続のルーティング 412

Web Interfaceとの通信の設定 413

公開アプリケーションおよびデスクトップのポリシーの構成 414

公開アプリケーションウィザードによる設定の構成 415

Citrix Gatewayでの Secure Ticket Authorityの構成 416

Citrix Gatewayでの追加のWeb Interface設定の構成 417

Web Interfaceフェールオーバーの設定 417

Web Interfaceを使したスマートカードアクセスの構成 418

Web Interfaceでのアプリケーションおよび Virtual Desktopsへのアクセスの構成 419

SmartAccess設定 421

Citrix Virtual Apps and Desktopsでの SmartAccessのしくみ 422

Citrix Virtual Appsポリシーとフィルターの構成 423

SmartAccessのセッションポリシーを構成するには 424

Citrix Virtual Appsでのユーザーデバイスマッピングの構成 424



隔離アクセス法としての Citrix Virtual Apps有効化 426

隔離グループのセッションポリシーおよびエンドポイント分析スキャンの作成 427

SmartAccessの Citrix Virtual Desktopsの構成 428

Citrix Virtual Desktopsを使した SmartAccessのセッションポリシーを構成するには 428

Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5 429

デスクトップ Delivery Controllerを STAとして追加するには 430

スマートコントロールの設定 430

Web Interfaceへのシングルサインオンの設定 448


Citrix Gateway 130

Webアプリケーションへのシングルサインオンをグローバルに設定するには 449

セッションポリシーを使してWebアプリケーションへのシングルサインオンを構成するには 449

WebアプリケーションへのシングルサインオンのHTTPポートを定義するには 450

その他の設定時の注意事項 450

Web Interfaceへのシングルサインオン接続をテストするには 451

スマートカードを使したWeb Interfaceへのシングルサインオンの構成 451

スマートカードを使してシングルサインオンにクライアント証明書を構成するには 453

Citrix Virtual Appsファイル共有のシングルサインオンを構成するには 453

ファイルタイプの関連付けの許可 454

Web Interfaceサイトの作成 455

ファイルタイプの関連付けのための Citrix Gatewayの構成 456


Citrix Gatewayと StoreFrontの統合 458

Citrix Endpoint Management環境の設定の構成 461

Citrix Endpoint Managementまたは Citrix XenMobileサーバーの負荷分散サーバーの構成 464

電メールセキュリティフィルタリングを使したMicrosoft Exchangeのロードバランシングサーバーの構成 466

Citrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSyncフィルタリングの構成 467

Citrixモバイル産性アプリを使したモバイルデバイスからのアクセスの許可 467

Citrix Endpoint Managementのためのドメインおよびセキュリティトークン認証の構成 474

クライアント証明書またはクライアント証明書およびドメイン認証の設定 476

CloudBridgeによるネットワークトラフィックの最適化 478

Gateway UX設定での RfWebUIパーソナ 479

RDPプロキシ 482


Citrix Gateway 130

ステートレス RDPプロキシ 490

RDP接続リダイレクト 495

LDAP属性に基づいて RDP URLを設定する 496

RDPプロキシを使して RDPファイル名をランダム化する 497

RDPアプリのファイル名を構成する 498

Citrix Gatewayが VMwareホライゾンビューに対して PCoIPプロキシサポートを有効にしました 499

VMWare Horizonビューの Citrix Gatewayが有効になっている PCoIPプロキシの構成 500

VMware Horizon View接続サーバの構成 504

HDX対応のデータ転送サポート 504

Enlightened Data Transportサポートを使するタイミング 505

EDTおよびHDX Insightをサポートするように Citrix Gatewayを構成 505

L7遅延しきい値 509

Microsoft Intune統合 513

統合 Intune MDMソリューションを使するタイミング 514

Citrix Gatewayと Intune MDMの統合について 514

単要素ログインの Citrix Gateway仮想サーバーのネットワークアクセス制御デバイスチェックの構成 515

Azure ADALトークン認証について 518

Microsoft ADALトークン認証の Citrix Gateway仮想サーバーの構成 518

Microsoftエンドポイントマネージャーでマイクロ VPNを使するための Citrix Gatewayのセットアップ 520

UDPトラフィックに対するサービスサポートのタイプ 525

Citrix Gatewayでのアウトバウンドプロキシのプロキシ動構成サポート 525

アウトバウンド ICAプロキシのサポート 526

アウトバウンド ICAプロキシの構成 527



Citrix Gateway 130

認証のネイティブOTPサポート 529

OTPのプッシュ通知 538

サーバ名表拡張の設定 544

SSLハンドシェイク中のサーバー証明書の検証 544

アドバンスポリシーを使した VPNポリシーの作成 545

テンプレートを使した簡略化された SaaSアプリケーション設定 548

EPAコンポーネントとしての nFactorでのデバイス証明書 556


Citrix Gateway 130

Citrix Gatewayのリリースノート

March 26 2020

リリースノートでは特定のビルドでソフトウェアがどのように変更されたかおよびそのビルドに存在することがわかっている問題について説明します

リリースノートドキュメントには次のセクションのすべてまたは部が含まれています

bull 新機能ビルドでリリースされた拡張機能やその他の変更bull 修正された問題ビルドで修正される問題bull 既知の問題ビルドに存在する問題bull 注ビルドを使する際に留意すべき重要な側bull 制限事項ビルドに存在する制限事項

注

bull 問題の説明の下の [ XXXXXX]ラベルはCitrix ADCチームが使する内部トラッキング IDです

bull これらのリリースノートにはセキュリティ関連の修正は記載されていませんセキュリティに関する修正とアドバイスの覧についてはCitrixセキュリティ情報を参照してください

最新のリリースノートのドキュメントを表するにはリリースノートページを参照してください


Citrix Gatewayについて

April 9 2020

Citrix Gatewayは導が容易で管理も簡単です最も般的な展開構成はDMZ内に Citrix Gatewayアプライアンスを配置することです複数の Citrix Gatewayアプライアンスをネットワークにインストールすることでより複雑な展開環境を実現できます

Citrix Gatewayを初めて起動するときはシリアルコンソール構成ユーティリティのセットアップウィザードまたは動的ホスト構成プロトコル（DHCP）を使して初期構成を実できますMPXアプライアンスではアプライアンスの前パネルにある LCDキーパッドを使して初期構成を実できますIPアドレスサブネットマスクデフォルト Gateway IPアドレスドメインネームシステム (DNS)アドレスなど内部ネットワークに固有の基本設定を構成できます基本的なネットワーク設定を構成したら認証承認ネットワークリソース仮想サーバーセッションポリシーエンドポイントポリシーのオプションなどCitrix Gatewayの操作に固有の設定を構成します

Citrix Gatewayをインストールして構成する前にこのセクションのトピックを参照して展開を計画してください導計画にはアプライアンスのインストール場所の決定DMZへの複数のアプライアンスのインストール法


Citrix Gateway 130

の理解およびライセンス要件が含まれますCitrix Gatewayはセキュリティで保護されたネットワークで実されている既存のハードウェアやソフトウェアを変更することなくあらゆるネットワークインフラストラクチャにインストールできますCitrix GatewayはサーバーロードバランサーキャッシュエンジンファイアウォールルーターIEEE 80211ワイヤレスデバイスなど他のネットワーク製品と連携します

Citrix Gatewayを構成する前にインストール前のチェックリストに設定を書き込むことができます

Citrix Gatewayアプライアンス Citrix Gatewayアプライアンスおよびアプライアンスのインストール順について説明します

インストール前のチェックリストネットワークに Citrix Gatewayをインストールする前に確認する計画情報と完了する必要のあるタスクの覧をします

般的な展開ネットワーク DMZへの Citrix Gatewayの導DMZのない安全なネットワークへの展開および負荷分散とフェイルオーバーをサポートする追加のアプライアンスに関する情報を提供しますまたCitrixVirtual Apps and Desktopsを使した CitrixGatewayの展開についても説明します

ライセンスアプライアンスへのライセンスのインストールに関する情報を提供しますまた複数の Citrix Gatewayアプライアンスへのライセンスのインストールについても説明します


Citrix Gatewayアーキテクチャ

April 9 2020

Citrix Gatewayのコアコンポーネントは次のとおりです

bull 仮想サーバCitrix Gateway仮想サーバーはユーザーが利できるすべての構成済みサービスを代表する内部エンティティです仮想サーバはユーザがこれらのサービスにアクセスするためのアクセスポイントでもあります1つのアプライアンスに複数の仮想サーバーを構成して1つの Citrix Gatewayアプライアンスが異なる認証およびリソースアクセス要件を持つ複数のユーザーコミュニティにサービスを提供できるようにすることができます


Citrix Gateway 130

bull 認証認可アカウンティング認証承認アカウンティングを構成するとCitrix Gatewayまたは LDAPや RADIUSなどの安全なネットワークにある認証サーバーが認識する資格情報を使してユーザーが CitrixGatewayにログオンできるようになります承認ポリシーはユーザーのアクセス許可を定義し特定のユーザーがアクセスを許可するリソースを決定します認証と認可の詳細については認証と承認を参照してくださいアカウンティングサーバーはユーザーログオンイベントリソースアクセスインスタンス操作エラーなどCitrix Gatewayアクティビティに関するデータを保持しますこの情報はCitrix Gatewayまたは外部サーバーに保存されますアカウンティングの詳細については「Citrix Gatewayでの監査の構成」を参照してください

bull ユーザー接続ユーザーは次のアクセス法を使して Citrix Gatewayにログオンできます

ndash Windowsの Citrix GatewayプラグインはWindowsベースのコンピュータにインストールされるソフトウェアですユーザーはWindowsベースのコンピューター上の通知領域のアイコンを右クリックしてログオンしますCitrix Gatewayプラグインがインストールされていないコンピューターを使している場合はWebブラウザーを使してログオンしプラグインをダウンロードしてインストールできますユーザーが Citrix Workspaceアプリをインストールしている場合ユーザーは Citrix Workspaceアプリから Citrix Gatewayプラグインを使してログオンしますCitrixWorkspaceアプリと Citrix Gatewayプラグインがユーザーデバイスにインストールされている場合Citrix Workspaceアプリは動的に Citrix Gatewayプラグインを追加します

ndash Mac OS Xを実しているユーザーがログオンできるようにするMac OS Xの Citrix GatewayプラグインこれはWindowsの Citrix Gatewayプラグインと同じ機能と機能を備えていますCitrix ADC Gatway 101ビルド 1201316eをインストールすることでこのプラグインバージョンのエンドポイント分析のサポートを提供できます

ndash Java Citrix GatewayプラグインMac OS XLinuxおよびオプションでWindowsユーザーがWebブラウザーを使してログオンできるようにします

ndash Web Interfaceまたは Citrix StoreFrontを使してサーバーファーム内の公開アプリケーションおよび仮想デスクトップへのユーザー接続を許可する Citrix Workspaceアプリ

ndash Citrix WorkspaceアプリSecure HubWorxMailおよび WorxWebを使してユーザーがWebアプリケーションSaaSアプリケーションiOSおよび Androidモバイルアプリおよび CitrixEndpoint Managementでホストされている ShareFileデータにアクセスできます

ndash ユーザーはCitrix GatewayのWebアドレスを使する Androidデバイスから接続できますユーザーがアプリを起動すると接続はMicro VPNを使してネットワークトラフィックを内部ネットワークにルーティングしますユーザーが Androidデバイスから接続する場合はCitrix GatewayでDNS設定を構成する必要があります詳しくは「Androidデバイスで DNSサフィックスを使したDNSクエリのサポート」を参照してください

ndash ユーザーはCitrix GatewayのWebアドレスを使する iOSデバイスから接続できますSecureBrowseはグローバルまたはセッションプロファイルで構成しますユーザーが iOSデバイスでアプリを起動するとVPN接続が開始されCitrix Gateway経由で接続がルーティングされます


Citrix Gateway 130

ndash クライアントレスアクセスユーザーデバイスにソフトウェアをインストールしなくても必要なアクセスをユーザーに提供します

Citrix Gatewayを構成するときにポリシーを作成してユーザーのログオン法を設定できますセッションおよびエンドポイントの分析ポリシーを作成してユーザーのログオンを制限することもできます

bull ネットワークリソースこれにはファイルサーバーアプリケーションWebサイトなどユーザーがCitrix Gateway経由でアクセスするすべてのネットワークサービスが含まれます

bull 仮想アダプタCitrix Gateway仮想アダプタはIPスプーフィングを必要とするアプリケーションをサポートします仮想アダプタはCitrix Gatewayプラグインのインストール時にユーザーデバイスにインストールされますユーザーが内部ネットワークに接続するとCitrix Gatewayと内部サーバー間の送信接続ではイントラネット IPアドレスが送信元 IPアドレスとして使されますCitrix Gatewayプラグインは構成の部としてサーバーからこの IPアドレスを受け取ります

Citrix Gatewayで分割トンネリングを有効にするとすべてのイントラネットトラフィックが仮想アダプタ経由でルーティングされますイントラネットにバインドされたトラフィックを代受信する場合仮想アダプタは Aおよび AAAAレコードタイプ DNSクエリーをインターセプトしその他すべての DNSクエリーはそのまま残します内部ネットワークにバインドされていないネットワークトラフィックはユーザーデバイスにインストールされているネットワークアダプタを介してルーティングされますインターネットおよびプライベートローカルエリアネットワーク (LAN)接続は開いたままであり接続されたままです分割トンネリングを無効にするとすべての接続が仮想アダプタを介してルーティングされます既存の接続はすべて切断されユーザーはセッションを再確する必要があります

イントラネット IPアドレスを構成すると内部ネットワークへのトラフィックは仮想アダプタを介してイントラネット IPアドレスでスプーフィングされます



March 26 2020

ユーザーはリモートロケーションから分の電メールファイル共有およびその他のネットワークリソースに接続できますユーザーは次のソフトウェアを使して内部ネットワークリソースに接続できます

bull Citrix Gatewayプラグインbull Citrix Workspaceアプリbull WorxMailおよびWorxWebbull Androidと iOSのモバイルデバイス


Citrix Gateway 130

Citrix Gatewayプラグインを使した接続

Citrix Gatewayプラグインを使すると次の順で内部ネットワークのリソースにユーザーがアクセスできます

1 ユーザーはWebブラウザーでWebアドレスをして Citrix Gatewayに初めて接続しますログオンページが表されユーザー名とパスワードをするよう求められます外部認証サーバーが構成されている場合Citrix Gatewayはサーバーに接続し認証サーバーはユーザーの資格情報を確認しますローカル認証が構成されている場合Citrix Gatewayはユーザー認証を実します

2 事前認証ポリシーを構成する場合ユーザーがWindowsベースのコンピューターまたはMac OS XコンピューターのWebブラウザーで Citrix GatewayのWebアドレスをするとログオンページが表される前にクライアントベースのセキュリティポリシーが設定されているかどうかが Citrix Gatewayによって確認されますセキュリティチェックではオペレーティングシステムの更新ウイルス対策保護適切に構成されたファイアウォールなどユーザーデバイスがセキュリティ関連の条件を満たしていることを確認しますユーザーデバイスがセキュリティチェックに失敗した場合Citrix Gatewayはユーザーのログオンをブロックしますログオンできないユーザーは必要な更新プログラムまたはパッケージをダウンロードしユーザーデバイスにインストールする必要がありますユーザーデバイスが事前認証ポリシーを通過するとログオンページが表されユーザーは分の資格情報をできますCitrix Gateway 101ビルド 1201316eをインストールする場合はMac OS Xコンピューターで度なエンドポイント分析を使できます

3 Citrix Gateway がユーザーの認証に成功するとVPN トンネルが開始されますCitrix Gateway ではWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインをダウンロードしてインストールするように求められますJavaの Network Gatewayプラグインを使している場合はユーザーデバイスも事前に構成されたリソース IPアドレスとポート番号のリストで初期化されます

4 認証後のスキャンを構成するとユーザーが正常にログオンするとCitrix Gatewayはユーザーデバイス上で必要なクライアントセキュリティポリシーをスキャンします事前認証ポリシーと同じセキュリティ関連の条件を要求できますユーザーデバイスがスキャンに失敗した場合ポリシーが適されないかユーザーが検疫グループに配置されユーザーのネットワークリソースへのアクセスが制限されます

5 セッションが確されるとユーザーは Citrix Gatewayのホームページにリダイレクトされユーザーはアクセスするリソースを選択できますCitrix Gatewayに含まれているホームページをアクセスインターフェイスと呼びますユーザーがWindowsの Citrix Gatewayプラグインを使してログオンするとWindowsデスクトップの通知領域にアイコンが表されユーザーが接続されていることをすメッセージがユーザーに表されますまたユーザーはMicrosoft Outlookを開いたり電メールを取得したりするなどアクセスインターフェイスを使せずにネットワーク上のリソースにアクセスすることもできます

6 ユーザー要求が事前認証と認証後の両のセキュリティチェックに合格した場合Citrix Gatewayは要求されたリソースに接続しユーザーデバイスとそのリソース間の安全な接続を開始します

7 ユーザーはWindowsベースのコンピューターの通知領域で Citrix Gatewayアイコンを右クリックし［ログオフ］をクリックするとアクティブなセッションを閉じることができますセッションはアクティブが原因でタイムアウトすることもありますセッションが閉じられるとトンネルはシャットダウンされユーザは内部リソースにアクセスできなくなりますユーザーはブラウザーで Citrix GatewayのWebアドレスをすることもできますユーザーが Enterキーを押すとユーザーがログオフできるアクセスインターフェイスが表されます


Citrix Gateway 130

注内部ネットワークに Citrix Endpoint Managementを展開する場合は内部ネットワークの外部から接続するユーザーが最初に Citrix Gatewayに接続する必要がありますユーザーが接続を確するとユーザーはWebアプリケーションおよび SaaSアプリケーションAndroidおよび iOSモバイルアプリおよび Citrix EndpointManagementでホストされている ShareFileデータにアクセスできますユーザーはクライアントレスアクセスまたは Citrix Workspaceアプリまたは Secure Hubを使してCitrix Gatewayプラグインを使して接続できます

Citrix Workspaceアプリとの接続

ユーザーはCitrix Workspaceアプリに接続してWindowsベースのアプリケーションと仮想デスクトップにアクセスできますユーザーはEndpoint Managementからアプリケーションにアクセスすることもできますリモートの場所から接続するにはCitrix GatewayプラグインもデバイスにインストールしますCitrix WorkspaceアプリはCitrix Gatewayプラグインをプラグインの覧に動的に追加しますユーザーはCitrix WorkspaceアプリにログオンするときにCitrix Gatewayプラグインにもログオンできますまたユーザーが Citrix GatewayWorkspaceアプリにログオンするときにCitrix Gatewayプラグインへのシングルサインオンを実するようにCitrix Gatewayを構成することもできます

iOSデバイスと Androidデバイスとの接続

ユーザーはSecure Hubを使して iOSまたは Androidデバイスから接続できますユーザーはSecure Mailを使して電メールにアクセスしWorxWebを使してWebサイトに接続できます

ユーザーがモバイルデバイスから接続する場合接続は Citrix Gatewayを介して内部リソースにアクセスしますユーザーが iOSに接続する場合はセッションプロファイルの部として「Secure Browse」を有効にしますユーザーが Androidで接続する場合接続は動的にマイクロ VPNを使しますさらにSecure Mail と WorxWeb はマイクロ VPN を使して Citrix Gateway を介して接続を確しますCitrixGatewayでマイクロ VPNを構成する必要はありません


般的な展開

April 9 2020

組織の内部ネットワーク（またはイントラネット）の境界に Citrix Gatewayを展開して内部ネットワークに存在するサーバーアプリケーションおよびその他のネットワークリソースへの安全な単アクセスポイントを提供できますすべてのリモートユーザーは内部ネットワーク上のリソースにアクセスする前にCitrix Gatewayに接続する必要があります


Citrix Gateway 130

Citrix Gatewayは通常ネットワーク内の次の場所にインストールされます

bull ネットワーク DMZでbull DMZltを持たないセキュアなネットワークの場合

またCitrix Virtual AppsCitrix Virtual DesktopsStoreFrontおよび Citrix Endpoint Managementを使して Citrix Gatewayを展開してユーザーがWindowsWebモバイルSaaSアプリケーションにアクセスできるようにすることもできます展開環境に Citrix Virtual AppsStoreFrontデスクトップ 7が含まれている場合はシングルホップまたはダブルホップの DMZ構成で Citrix Gatewayを展開できますダブルホップ展開は以前のバージョンの Citrix Virtual Desktopsまたは Citrix Endpoint Managementではサポートされません

これらの Citrix ソリューションおよびサポートされているその他の Citrix ソリューションを使して CitrixGatewayインストールを拡張する法の詳細についてはCitrix製品との統合トピックを参照してください


DMZでのデプロイ

March 26 2020

多くの組織はDMZを使して内部ネットワークを保護しますDMZは組織の安全な内部ネットワークとインターネット (または任意の外部ネットワーク)の間にあるサブネットですDMZに Citrix Gatewayを展開するとユーザーは Citrix Gatewayプラグインまたは Citrix Workspaceアプリを使して接続します

図 1DMZにデプロイされた Citrix Gateway

前の図にす構成ではDMZに Citrix Gatewayをインストールしインターネットと内部ネットワークの両に接続するように構成します

DMZでの Citrix Gateway接続

DMZに Citrix Gatewayを展開する場合ユーザー接続は最初のファイアウォールを通過して Citrix Gatewayに接続する必要がありますデフォルトではユーザー接続はポート 443で SSLを使してこの接続を確します内部ネットワークへのユーザー接続を許可するには最初のファイアウォールを介してポート 443で SSLを許可する必要があります

Citrix Gatewayはユーザーデバイスからの SSL接続を復号化しユーザーの代わりに 2番のファイアウォールの背後にあるネットワークリソースへの接続を確します2番のファイアウォールを介して開く必要があるポートは外部ユーザーにアクセスを許可するネットワークリソースによって異なります

たとえば外部ユーザに内部ネットワーク内のWebサーバへのアクセスを許可しこのサーバがポート 80でHTTP接続をリッスンする場合ポート 80で HTTPを 2番のファイアウォール経由で許可する必要がありますCitrix


Citrix Gateway 130

Gatewayは外部ユーザーデバイスの代わりに2番のファイアウォールを経由して内部ネットワーク上のHTTPサーバーへの接続を確します



March 26 2020

Citrix Gatewayはセキュリティで保護されたネットワークにインストールできますこのシナリオでは1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にありますCitrix Gatewayはネットワークリソースへのアクセスを制御するためにファイアウォール内に存在します

図 1セキュアなネットワークにデプロイされた Citrix Gateway

Citrix Gatewayをセキュリティで保護されたネットワークに展開する場合はCitrix Gateway上の 1つのインターフェイスをインターネットに接続しもう 1つのインターフェイスをセキュリティで保護されたネットワークで実されているサーバーに接続しますCitrix Gatewayを安全なネットワークに置くとローカルユーザーおよびリモートユーザーにアクセスできるようになりますただしこの構成にはファイアウォールが 1つしかないためではリモートロケーションから接続するユーザに対する配置の安全性が低下しますCitrix Gatewayはインターネットからのトラフィックを傍受しますがトラフィックはセキュリティで保護されたネットワークにってからユーザーを認証しますCitrix Gatewayを DMZに展開するとネットワークトラフィックが安全なネットワークに到達する前にユーザーが認証されます

Citrix Gatewayをセキュアなネットワークに展開する場合Citrix Gatewayプラグイン接続はファイアウォールを通過して Citrix Gatewayに接続する必要がありますデフォルトではユーザー接続はポート 443で SSLプロトコルを使してこの接続を確しますこの接続をサポートするにはファイアウォールでポート 443を開く必要があります



March 26 2020

このセクションではCitrix Gatewayクライアントソフトウェアのシステム要件について説明します

Citrix GatewayではCitrix Gatewayプラグインを使したユーザー接続がサポートされますユーザーがプラグインを使してログオンすると完全な VPNトンネルが確されますCitrix Gatewayプラグインを使すると


Citrix Gateway 130

ユーザーはアクセスを許可するネットワークリソースに接続して操作できます

Citrix Gatewayでエンドポイントポリシーを構成する場合ユーザーがログオンするとCitrix Gatewayによってエンドポイント分析プラグインが動的にダウンロードされユーザーデバイスにインストールされます


Citrix Gatewayプラグインのシステム要件

March 26 2020

Citrix Gatewayプラグインはクライアントマシンから Citrix Gatewayアプライアンスへの安全な接続を確します

このプラグインはMicrosoft WindowsmacOS Xおよび Linuxオペレーティングシステムのデスクトップアプリとして配布されますWebブラウザで Citrix Gatewayアプライアンスのセキュアな URLを認証するとプラグインがダウンロードされマシンに動的にインストールされます

プラグインはAndroidおよび iOSデバイスのモバイルアプリとしてプロビジョニングされます

注プラグインをインストールするにはオペレーティングシステムで admin権限または root権限が必要です

デスクトップアプリケーションとしての Citrix Gatewayプラグインは以下のオペレーティングシステムとWebブラウザーでサポートされています


macOS X (109以降) Safari 71以降Google Chrome Release 30以降Mozilla Firefox Release 30以降

Windows 10 (x86および x64) Internet Explorer 11Google Chrome Release30以降Mozilla Firefox Release 24以降EdgeChromium

Windows 81 Internet Explorer 11Google Chrome Release30以降Mozilla Firefox Release 24以降EdgeChromium

Windows 8 Internet Explorer 9および 10Google ChromeRelease 30以降Mozilla Firefox Release 24以降Edge Chromium

Windows 7 Internet Explorer 91011Google ChromeRelease 30以降Mozilla Firefox Release 24以降Edge Chromium


Citrix Gateway 130


LinuxUbuntu 1804 LTS1604 LTS1404 LTS1204 LTS 32ビットおよび 64ビットOSがサポートされています

Mozilla Firefox Release 44以降Google Chrome50以降

重要Ubuntu 1604 LTSのバグ（1573408）によりVPNプラグインのインストールが失敗します同じ場合の回避策は次のようにリストされます

コマンドラインインターフェイスを使して次のコマンドをします

1 sudo dpkg -i nsgclientdeb

必要な依存関係パッケージがつからない場合コマンドはそれらを覧表しプラグインのインストールは失敗しますこれらの依存関係パッケージは動でインストールする必要があります管理者はコマンドラインインターフェイスを使して次のコマンドをして不しているパッケージをインストールできます

1 apt-get install ltdependency packagegt

モバイルアプリとしての Citrix Gatewayプラグインは以下のオペレーティングシステムでサポートされています

VPNアプリサポートされるオペレーティングシステム

Android Android 41以降

iOS iOS 8以降



March 26 2020

Citrix Gatewayがユーザーデバイスにエンドポイント分析プラグインをインストールするとプラグインによってユーザーデバイスがスキャンされCitrix Gatewayで設定したエンドポイントのセキュリティ要件が確認されます要件にはオペレーティングシステムウイルス対策Webブラウザーのバージョンなどの情報が含まれます

Windowsユーザーがブラウザを使して Citrix Gatewayに初めて接続する場合ポータルはエンドポイント分析プラグインのインストールを要求しますその後のログオン試時にプラグインはアップグレード制御構成をチェ


Citrix Gateway 130

ックしクライアントエンドポイント分析プラグインのアップグレードが必要かどうかを判断します必要であれば新しい Endpoint Analysisプラグインをダウンロードしてインストールするかどうかを確認するメッセージが表されますWindowsエンドポイント分析プラグインはWindows 32ビットアプリケーションとしてインストールされますインストールまたは使に特別な権限は必要ありません

Mac OS Xの場合ユーザーはエンドポイント分析プラグインをインストールする必要がありますMac OS Xのプラグインは32ビットアプリケーションとしてインストールされますインストールに特別な権限は必要ありませんその後のログオン試時にプラグインのバージョンが致しない場合プラグインをダウンロードしてインストールするように求められます

Endpoint Analysisプラグインを使するにはユーザーデバイスに以下のソフトウェアが必要です

|オペレーティングシステム |サポートされているブラウザー ||ndash|ndash||Mac OS X (109以降)|Safari 71以降Google Chrome Release 30以降Mozilla Firefox Release 30以降 ||Windows 10|Internet Explorer 11Google Chrome Release 30 以降Mozilla Firefox Release 24 以降Microsoft Edgeはサポートされません||Windows 81|Internet Explorer 11Google Chrome Release 30以降Mozilla Firefox Release 24以降 ||Windows 8|Internet Explorer 9および 10Google Chrome Release 30以降Mozilla Firefox Release 24以降 ||Windows 7|Internet Explorer 9 および 10 および 11Google Chrome Release 30 以降Mozilla FirefoxRelease 24以降 ||Windows Vista|Internet Explorer 9 Mozilla Firefox Release 9および 10||Linux Ubuntu 1204 LTS1404 LTS1604 LTS注32ビットおよび 64ビットOSがサポートされています|Mozilla Firefox Release 44以降Google Chrome50以降 |

注 1 上記のオペレーティングシステムバリアントのすべてのエディションがサポートされています

注 2 Windowsエディションではすべてのサービスパックと重要な更新プログラムをインストールする必要があります

注 3 Internet Explorerのバージョンではクッキーを有効にする必要があります最低限必要なバージョンは 70です

注 4 Mozilla Firefoxのバージョンではエンドポイント分析はプラグインを有効にする必要があり最低限必要なバージョンは 30です

重要認証前エンドポイント分析の場合ユーザーがユーザーデバイスに Endpoint Analysisプラグインをインストールしていない場合またはスキャンをスキップした場合ユーザーは Citrix Gatewayプラグインを使してログオンできません認証後のエンドポイント分析の場合ユーザーはクライアントレスアクセスまたは CitrixWorkspaceアプリを使してスキャンが不要なリソースにアクセスできます



Citrix Gateway 130


March 26 2020

次の表にCitrix製品および Citrix Gateway 130と互換性があるバージョンをします

注 Citrix Gatewayの機能はCitrix ADC VPXで使できます

Citrix製品とサポートされているバージョン

Citrix製品リリースバージョン

Citrix SD-WAN 102 110

Citrix ADC ADCプラットフォーム FIPS準拠のアプライアンスを含む現在のすべてのMPXおよび VPXモデル

StoreFront 38 39 310 311 312 313 314 315

Web Interface 54

Citrix Virtual Apps and Desktops 76 712 713 714 715 716 717 718

XenMobile 105 106 107 108 109 1010 1011 1012

注 Citrix XenApp 65がサポートされています

Citrix WorkspaceアプリCitrixモバイル産性アプリおよびプラグイン


Citrix Gatewayプラグイン (macOS X) 318

Windows向け Citrix Gatewayプラグイン 120

iOS Citrix Gatewayプラグイン 314

Android向け Citrix Gatewayプラグイン 2014

Android向け Citrix Workspaceアプリ 311

iOS向け Citrix Workspaceアプリ 713

Mac向け Citrix Workspaceアプリ 124

Windows向け Citrix Workspaceアプリ 44

Linux向け Citrix Workspaceアプリ 134


Citrix Gateway 130


HTML5向け Citrix Workspaceアプリ 23

Chrome Citrix Workspaceアプリ 23

Secure Hub for iOS 105

Secure Hub for Android 105

Secure Mail for iOS 105

SecureWeb for iOS 105

Secure Mail for Android 105

SecureWeb for Android 105

WindowsGatewayプラグインでサポートされる Citrix Gateway機能

Citrix Gateway 130ビルド 3627以降では以下の機能がサポートされています

bull デバイスガードのサポートbull nファクターのサポートbull Opswat v4のサポートbull SAMLのサポートbull AlwaysOnオンサービス


ライセンス

March 26 2020

Citrix Gatewayを展開してユーザー接続をサポートするにはアプライアンスのライセンスを適切に取得する必要があります

重要受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことをお勧めします構成ファイルのバックアップコピーを保存するとアップロードしたすべてのライセンスファイルもバックアップに含まれますCitrix Gatewayアプライアンスソフトウェアを再インストールする必要があり構成のバックアップがない場合は元のライセンスファイルが必要になります

Citrix Gatewayにライセンスをインストールする前にアプライアンスのホスト名を設定してからCitrix Gatewayを再起動してくださいセットアップウィザードを使してホスト名を構成しますCitrix Gatewayのユニバーサルライセンスを成するとホスト名がそのライセンスで使されます


Citrix Gateway 130


Citrix Gatewayのライセンスの種類

March 26 2020

Citrix Gatewayにはプラットフォームライセンスが必要ですプラットフォームライセンスではICAプロキシを使して Citrix Virtual AppsCitrix Virtual Desktopsまたは StoreFrontへの無制限の接続が可能ですCitrixGatewayプラグインSmartAccessログオンポイントまたは Secure HubWorxWebまたは Secure Mailからの VPN接続を許可するにはユニバーサルライセンスも追加する必要がありますCitrix Gateway VPXにはプラットフォームライセンスが付属しています

プラットフォームライセンスは以下の Citrix Gatewayバージョンでサポートされています

bull Citrix Gateway 130bull Citrix Gateway 121bull NetScaler Gateway 120bull NetScaler Gateway 111bull NetScaler Gateway 110bull NetScaler Gateway 105bull NetScaler Gateway 101bull Access Gateway 10bull Citrix ADC VPX

重要受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことをお勧めします構成ファイルのバックアップコピーを保存するとアップロードされたすべてのライセンスファイルがバックアップに含まれますCitrix Gatewayアプライアンスソフトウェアを再インストールする必要があり構成のバックアップがない場合は元のライセンスファイルが必要です

プラットフォームライセンス

プラットフォームライセンスではCitrix Virtual Apps上の公開アプリケーションまたは Citrix Virtual Desktopsからの仮想デスクトップへの無制限のユーザー接続が可能ですCitrix Workspaceアプリを使した接続ではCitrix Gatewayユニバーサルライセンスは使されませんこれらの接続に必要なのはプラットフォームライセンスのみですプラットフォームライセンスは物理ライセンスと仮想ライセンスにかかわらず新しい CitrixGatewayのすべての注とともに電的に提供されます保証契約または保守契約の対象となるアプライアンスをすでに所有している場合はシトリックスWebサイトからプラットフォームライセンスを取得できます


Citrix Gateway 130

重要プラットフォームライセンスに基づき次の数のユニバーサルライセンスが含まれています

bull スタンダードエディションmdash 500bull アドバンスドエディションmdash 1000bull プレミアムmdash無制限

ユニバーサルライセンス

ユニバーサルライセンスでは同時ユーザーセッションの数は購したライセンス数に制限されます

ユニバーサルライセンスでは次の機能がサポートされています

bull 完全 VPNトンネルbull マイクロ VPNbull エンドポイント解析bull ポリシーベースの SmartAccessbull Webサイトやファイル共有へのクライアントレスアクセス

Standardエディションのライセンスを購するといつでも 500の同時セッションを持つことができますユーザーがセッションを終了するとそのライセンスは次のユーザーのために解放されます複数のコンピューターからCitrix Gatewayにログオンするユーザーはセッションごとにライセンスを占有します

すべてのライセンスが使されている場合ユーザーがセッションを終了するかセッションを終了するまで追加の接続を開くことはできません接続が閉じられるとライセンスが解放され新しいユーザーが使できるようになります

Citrix Gatewayアプライアンスを受け取るとライセンスは次の順序でわれます

bull ライセンス認証コード (LAC)が電メールで送信されますbull セットアップウィザードを使してホスト名で Citrix Gatewayを構成しますbull Citrixのウェブサイトから Citrix Gatewayのライセンスを割り当てますホスト名を使して割り当てプロセス中にライセンスをアプライアンスにバインドします

bull ライセンスファイルはCitrix Gatewayにインストールします

ユニバーサルライセンスの詳細についてはCitrix Gatewayユニバーサルライセンスを参照してください


プラットフォームまたはユニバーサルライセンスファイルの

March 26 2020


Citrix Gateway 130

Citrix GatewayをインストールするとCitrixからプラットフォームまたはユニバーサルライセンスファイルをできますCitrixのWebサイトにログオンして使可能なライセンスにアクセスしライセンスファイルを成しますライセンスファイルが成されたらコンピュータにダウンロードしますライセンスファイルがコンピューター上に存在したらCitrix GatewayにアップロードしますCitrixライセンスサーバーについて詳しくは「Citrixライセンスシステム」を参照してください

ライセンスファイルを取得する前にセットアップウィザードを使してアプライアンスのホスト名を構成してからアプライアンスを再起動してください

重要ライセンスは Citrix Gatewayにインストールする必要がありますアプライアンスはCitrixライセンスサーバーからライセンスを取得しません

ライセンスを取得するにはCitrixライセンスのアクティブ化アップグレード管理Webページに移動しますこのページでは新しいライセンスを取得しCitrixライセンスのライセンス認証アップグレード管理をうことができます


Citrix Gatewayにライセンスをインストールするには

March 26 2020

ライセンスファイルをコンピューターに正常にダウンロードしたらCitrix Gatewayにライセンスをインストールできますライセンスは nsconfiglicenseディレクトリにインストールされます

セットアップウィザードを使して Citrix Gatewayの初期設定を構成した場合ウィザードの実時にライセンスファイルがインストールされますライセンスの部を割り当てた後後で追加番号を割り当てる場合はセットアップウィザードを使せずにライセンスをインストールできます


2 詳細ウィンドウで[ライセンスの管理]をクリックします

3 [新しいライセンスの追加]をクリックし[参照]をクリックしてライセンスファイルに移動し[OK]をクリックします

構成ユーティリティにCitrix Gatewayを再起動する必要があるというメッセージが表されます[再起動]をクリックします


Citrix Gateway 130

最ユーザー数を設定するには

アプライアンスにライセンスをインストールしたらアプライアンスに接続できるユーザーの最数を設定する必要がありますグローバル認証ポリシーの最ユーザー数を設定します


2 詳細ペインの [設定]で[認証 AAA設定の変更]をクリックします

3 [最ユーザー数]にユーザーの合計数をし[OK]をクリックします

このフィールドの数字はライセンスファイルに含まれるライセンスの数に対応しますこの数はアプライアンスにインストールされているライセンスの合計数以下である必要がありますたとえば100のユーザライセンスを含む 1つのライセンスと 400のユーザライセンスを含む 2番のライセンスをインストールするとしますライセンスの合計数は 500ですログオンできるユーザーの最数は 500以下です500のユーザーがログオンしている場合その数を超えてログオンしようとするユーザーはユーザーがログオフするかセッションを終了するまでアクセスが拒否されます



March 26 2020

続する前にユニバーサルライセンスが正しくインストールされていることを確認してください

構成ユーティリティを使してユニバーサルライセンスのインストールを確認するには


［ライセンス］ペインで［Citrix Gateway］の横に緑のチェックマークが表されます［許可される CitrixGatewayユーザーの最数］フィールドにはアプライアンスでライセンスされた同時ユーザーセッションの数が表されます

コマンドラインを使してユニバーサルライセンスのインストールを確認するには

1 PuTTYなどの SSHクライアントを使してアプライアンスへのセキュアシェル（SSH）接続を開きます2 管理者の資格情報を使してアプライアンスにログオンします


Citrix Gateway 130

3 コマンドプロンプトで次のようにしますshow licenseパラメータ SSL VPNが Yesでmaximumusersパラメータがライセンス数に等しい場合ライセンスは正しくインストールされます


よくある質問

March 26 2020

ライセンス

ユニバーサルライセンス (CCU)とは何ですか

ユニバーサルライセンスはCitrix ADCプラットフォームライセンスの上に置かれているアドオンライセンスですこれらのライセンスは次の場合に必要です

ICAセッションの保護

1 SmartAccess

2 SmartControl

3 EPA

SSL VPN

1 すべての SSL VPNユースケース（Unified GatewayCVPNRDPプロキシなど）

2 Portalを有効にするには

新しいライセンスポリシーの変更点は何ですか

ユニバーサルライセンスの価格は以下の通りです

1 0〜 2499のユーザー-1ユーザーあたり 100ドル2 2500以上のユーザー-ユーザー 1あたり 50ドル

以前のパッケージは以下の通りです

1 標準およびアドバンストには 5つのユニバーサルライセンスが含まれています2 プレミアムライセンスには 100個のユニバーサルライセンスが含まれています

変更は次のとおりです

1 標準には 500ライセンスが含まれます


Citrix Gateway 130

2 アドバンストには 1000のライセンスが含まれます3 Premiumには CCU要件はありませんつまりお客様は Premiumの CCUを必要としません

Premium 111以降を購した場合はすべてのユースケースでユニバーサルライセンスを使できます

ユーザー数価格

1-10000 $5

10001-20000 $2

20001+ $15

新しい価格はいつ購者に提供されますか

新しいパッケージは2016年 9 26にリリースされたNS 1114916ビルドに含まれます新しい SKUは 2016年 9 19に公開されます

どのようなバージョンの Citrix ADCが必要ですか

CCUで新しいパッケージをするにはNS 111-4916以降が必要です

既存のお客様はどのようにしてこれをにれるのですか

既存のお客様は新しいパッケージをするには既存の NSバージョンを 11149xxにアップグレードする必要があります

お客様がアップグレードを希望しない場合でSSL VPNにNSを使することを希望する場合は次の点を確認してください

1 Unified Gatewayはアドバンス版またはプレミアム版のみで使できます2 Citrix Virtual Apps and Desktopsプレミアムエディションで CCUを無料で受け取った場合はSSL VPNの CCUを購するか11149xxを実する NSプレミアムエディションを購する必要があります

3 現時点では使シナリオを反映してオンライン EULAが更新されていますそれはここに掲載されますhttpswwwcitrixcombuylicensingproducthtml

4 販売例外プロセスを通じて同じ価格設定を得ることができます


お客様が標準エディションを実している場合最初の 500個のユニバーサルライセンスが無料でできます残りの部分は1〜 10000ユーザーに対して 5ドルである新しい価格ごとに課されます


Citrix Gateway 130

同じお客様が戻ってきてさらに 6000ライセンスを購した場合料はいくらですか

お客様が再び 6000ライセンスを購した場合6000ユーザー 1ユーザーあたり 5ドル = 30000ドルになりますこのを 11000ライセンスで使してもメリットは得られません

年間メンテナンスもこの料に課されます


Standard エディションを実している場合は最初の 500 ライセンスが無料でできます残りの場合は10500のユーザー 1ユーザーあたり 2ドル = 21000ドルをお払いいただきます

他のベンダーはどのように課されますかまたお客様に伝えるには何が必要ですか

すべての SSL VPNベンダーはユーザセッションライセンスごとに課されますCitrix社はお客様が CitrixADC Premiumエディションを購する場合ユーザーセッションライセンスごとに課されない唯の企業です

お客様が Citrix Virtual Apps and Desktopsプレミアムエディションで受け取った CCUが 100個ありUnified Gatewayに 100個の CCUを購した場合現在は 200個の CCUがありますか

はい彼らは 200個の CCUを持っていますただしSSL VPNのユースケースには 100個の CCUしか使できませんただしCitrix Virtual Apps and Desktopsのユースケースには 200個の CCUを使できます


はじめに

April 9 2020

Citrix Gatewayをインストールする前にインフラストラクチャを評価し情報を収集して組織の特定のニーズを満たすアクセス戦略を計画する必要がありますアクセス戦略を定義するときはセキュリティへの影響を考慮しリスク分析を完了する必要がありますまたユーザーが接続を許可するネットワークを決定しユーザー接続を有効にするポリシーを決定する必要もあります

ユーザーが使できるリソースの計画に加えて展開シナリオも計画する必要がありますCitrix Gatewayは次の Citrix製品で動作します

bull Citrix Endpoint Managementbull Citrix Virtual Apps


Citrix Gateway 130

bull Citrix Virtual Desktopsbull StoreFrontbull Web Interfacebull CloudBridge

Citrix Gatewayの展開について詳しくは「般的な展開」および「Citrix製品との統合」を参照してください

アクセス戦略を準備する際には次の予備的な順を実します

bull リソースを特定しますWebSaaSモバイルまたは公開アプリケーション仮想デスクトップサービスリスク分析で定義したデータなどアクセスを提供するネットワークリソースを覧表します

bull アクセスシナリオを作成しますユーザーがネットワークリソースにアクセスする法を説明するアクセスシナリオを作成しますアクセスシナリオはネットワークへのアクセスに使される仮想サーバーエンドポイント分析スキャン結果認証タイプまたはその組み合わせによって定義されますまたユーザーがネットワークにログオンする法を定義することもできます

bull クライアントソフトウェアを識別しますCitrix Gatewayプラグインで完全な VPNアクセスを提供しユーザーは Citrix WorkspaceアプリSecure Hubまたはクライアントレスアクセスを使してログオンする必要がありますまたOutlook Web AppまたはWorxMailへの電メールアクセスを制限することもできますこれらのアクセスシナリオはユーザーがアクセス権を取得したときに実できるアクションも決定しますたとえば公開アプリケーションを使するかファイル共有に接続してユーザーがドキュメントを変更できるかどうかを指定できます

bull ポリシーをユーザーグループまたは仮想サーバーに関連付けますCitrix Gatewayで作成するポリシーは個またはユーザーのセットが指定した条件を満たしたときに適されます作成したアクセスシナリオに基づいて条件を決定します次にユーザーがアクセスできるリソースとそれらのリソースに対してユーザーが実できるアクションを制御することによってネットワークのセキュリティを拡張するポリシーを作成しますポリシーは適切なユーザーグループ仮想サーバーまたはグローバルに関連付けます

この項ではアクセス戦略の計画に役つ次のトピックについて説明します

bull セキュリティの計画には認証と証明書に関する情報が含まれますbull 必要なネットワークハードウェアとソフトウェアを定義する前提条件bull Citrix Gatewayを構成する前に設定を書き留めるために使できるインストール前のチェックリスト



March 26 2020

Citrix Gatewayの展開を計画する際には証明書と認証と承認に関連する基本的なセキュリティ上の問題を理解する必要があります


Citrix Gateway 130

セキュアな証明書管理の設定

デフォルトではCitrix Gatewayには署名の SSL（Secure Sockets Layer）サーバー証明書が含まれておりアプライアンスで SSLハンドシェイクを完了できます署名証明書はテストやサンプル展開には適していますが実稼働環境での使はお勧めしませんCitrix Gatewayを本番環境に展開する前に認証局（CA）から署名された SSLサーバー証明書をリクエストして受信しCitrix Gatewayにアップロードすることをお勧めします

Citrix Gatewayを SSLハンドシェイクでクライアントとして動作させる必要のある環境で（別のサーバーとの暗号化された接続を開始する）Citrix Gatewayを展開する場合は信頼されたルート証明書も Citrix Gatewayにインストールする必要がありますたとえばCitrix Virtual AppsおよびWeb Interfaceを使して Citrix Gatewayを展開する場合Citrix GatewayからWeb Interfaceへの接続を SSLで暗号化できますこの構成では信頼されたルート証明書を Citrix Gatewayにインストールする必要があります

認証のサポート

Citrix Gatewayを構成してユーザーを認証しユーザーが内部ネットワーク上のネットワークリソースに対して持つアクセス（または承認）のレベルを制御できます

Citrix Gatewayを展開する前にネットワーク環境に次のいずれかの認証タイプをサポートするディレクトリと認証サーバーを配置する必要があります

bull LDAPbull RADIUSbull TACACS+bull 監査およびスマートカードをサポートするクライアント証明書bull RADIUSを使した RSA構成bull SAML認証

環境が前述のリストの認証タイプをサポートしていない場合またはリモートユーザーの数が少ない場合はCitrixGatewayでローカルユーザーのリストを作成できますその後このローカルリストに対してユーザーを認証するように Citrix Gatewayを構成できますこの設定ではユーザアカウントを別の外部ディレクトリに保存する必要はありません

Citrix Gatewayのデプロイメントを保護する

展開によってはセキュリティに関する考慮事項が異なる場合がありますCitrix ADC安全な展開ガイドラインにはセキュリティに関する般的なガイダンスが記載されていますこのガイドラインは特定のセキュリティ要件に基づいて適切な安全な展開を決定する際に役ちます

詳しくは「Citrix ADC安全な導ガイドライン」を参照してください



Citrix Gateway 130

前提条件

April 9 2020

Citrix Gatewayの設定を構成する前に次の前提条件を確認してください

bull Citrix Gatewayはネットワークに物理的にインストールされネットワークにアクセスできますCitrixGatewayはファイアウォールの内側にある DMZまたは内部ネットワークに展開されますダブルホップDMZで Citrix Gatewayを構成しサーバーファームへの接続を構成することもできますDMZにアプライアンスを展開することをお勧めします

bull Citrix Gatewayはユーザーがネットワーク上のリソースにアクセスできるようにデフォルト Gatewayまたは内部ネットワークへの静的ルートを使して構成しますCitrix Gatewayはデフォルトで静的ルートを使するように構成されています

bull 認証および認可に使される外部サーバが設定され実されています詳しくは「認証と承認」を参照してください

bull ネットワークには適切な Citrix Gatewayユーザー機能を提供するために名前解決のドメインネームサーバー（DNS）またはWindowsインターネットネームサービス（WINS）サーバーがあります

bull Citrix Gatewayプラグインを使してユーザー接続するためのユニバーサルライセンスを Citrix Webサイトからダウンロードしライセンスは Citrix Gatewayにインストールできます

bull Citrix Gatewayには信頼された証明機関（CA）によって署名された証明書があります詳しくは「証明書のインストールと管理」を参照してください

Citrix Gatewayをインストールする前にインストール前のチェックリストを使して設定を書き留めます



April 9 2020

チェックリストはCitrix Gatewayをインストールする前に完了する必要があるタスクと計画情報の覧で構成されています

タスクを完了してメモを作成するときに各タスクをチェックオフできるようにスペースが意されていますインストールプロセス中および Citrix Gatewayの構成中にする必要がある構成値をメモしておくことをお勧めします

Citrix Gatewayのインストールと構成の順についてはCitrix Gatewayのインストールを参照してください


Citrix Gateway 130

ユーザーデバイス

bull ユーザーデバイスがCitrix Gatewayプラグインのシステム要件で説明されているインストールの前提条件を満たしていることを確認します

bull ユーザーが接続するモバイルデバイスを識別します注意ユーザーが iOSデバイスに接続する場合はセッションプロファイルで「Secure Browse」を有効にする必要があります

Citrix Gatewayの基本的なネットワーク接続

アプライアンスの構成を開始する前にライセンスと署名付きサーバー証明書を取得することをお勧めします

bull Citrix Gatewayのホスト名を特定して書き留めます注これは完全修飾ドメイン名 (FQDN)ではありませんFQDNは仮想サーバーにバインドされている署名付きサーバー証明書に含まれています

bull ユニバーサルライセンスをCitrixから取得しますbull 証明書署名要求（CSR）を成し認証局（CA）に送信しますCSRを CAに送信する付をしますbull システム IPアドレスとサブネットマスクを書き留めますbull サブネット IPアドレスとサブネットマスクを書き留めますbull 管理者パスワードを書き留めますCitrix Gatewayに付属するデフォルトのパスワードは nsrootですbull ポート番号を書き留めますこれはCitrix Gatewayがセキュアなユーザー接続をリッスンするポートですデフォルトは TCPポート 443ですこのポートはセキュリティで保護されていないネットワーク（インターネット）と DMZの間のファイアウォール上で開かれている必要があります

bull デフォルト Gatewayの IPアドレスを書き留めますbull DNSサーバの IPアドレスとポート番号を書き留めますデフォルトのポート番号は 53ですさらにDNSサーバーを直接追加する場合はアプライアンスで ICMP (ping)も構成する必要があります

bull 最初の仮想サーバの IPアドレスとホスト名を書き留めますbull 2番の仮想サーバの IPアドレスとホスト名 (該当する場合)を書き留めますbull WINSサーバの IPアドレスを書き留めます (該当する場合)

Citrix Gatewayを介してアクセス可能な内部ネットワーク

bull ユーザーが Citrix Gateway経由でアクセスできる内部ネットワークを書き留めます例10100024bull ユーザーが Citrix Gatewayプラグインを使して Citrix Gateway経由で接続するときにアクセスする必要があるすべての内部ネットワークとネットワークセグメントをします

可性

Citrix Gatewayアプライアンスが 2つある場合は1つの Citrix Gatewayが接続を受けれて管理する可性構成でそれらを展開し2つの Citrix Gatewayが最初のアプライアンスを監視します最初の Citrix Gatewayが何らかの理由で接続の受けれを停すると2番の Citrix Gatewayが引き継ぎアクティブな接続の受けれを開始します


Citrix Gateway 130

bull Citrix Gatewayソフトウェアのバージョン番号をメモしますbull バージョン番号は両の Citrix Gatewayアプライアンスで同じである必要がありますbull 管理者パスワード（nsroot）を書き留めますパスワードは両のアプライアンスで同じである必要があります

bull プライマリ Citrix Gatewayの IPアドレスと IDを書き留めます最 ID番号は 64ですbull セカンダリ Citrix Gatewayの IPアドレスと IDを書き留めますbull ユニバーサルライセンスを取得し両のアプライアンスにインストールしますbull 両のアプライアンスに同じユニバーサルライセンスをインストールする必要がありますbull RPCノードのパスワードを書き留めます

認証と承認

Citrix Gatewayではさまざまな種類の認証と承認がサポートされておりさまざまな組み合わせで使できます認証と認可の詳細については認証と承認を参照してください

LDAP認証

環境に LDAPサーバーが含まれている場合はLDAPを使して認証できます

bull LDAPサーバの IPアドレスとポートを書き留めます

LDAPサーバへのセキュアでない接続を許可する場合デフォルトはポート 389ですSSLを使して LDAPサーバーへの接続を暗号化する場合デフォルトはポート 636です

bull セキュリティの種類を書き留めます

セキュリティは暗号化の有無にかかわらず設定できます

bull 管理者のバインド DNを書き留めます

LDAPサーバーで認証が必要な場合はLDAPディレクトリへのクエリを実するときに Citrix Gatewayが認証に使する管理者 DNをしますたとえばcn =管理者cn =ユーザーdc =エースdc = comなどです

bull 管理者パスワードを書き留めます

これは管理者のバインド DNに関連付けられたパスワードです

bull ベース DNを書き留めます

ユーザーを検索する DN（またはディレクトリレベル）ですたとえばou=usersdc=acedc=comです

bull サーバーのログオン名属性を書き留めます

ユーザーのログオン名を指定する LDAP ディレクトリの物オブジェクト属性をします既定値はsAMAccountNameですActive Directoryを使していない場合この設定に共通する値は cnまたは


Citrix Gateway 130

uidですLDAPディレクトリ設定の詳細については「LDAP認証の構成」を参照してください

bull グループ属性を書き留めますユーザーが属するグループを指定する LDAPディレクトリ個オブジェクト属性をしますデフォルトはmemberOfですこの属性によりCitrix Gatewayはユーザーが属するディレクトリグループを識別できます

bull サブアトリビュート名を書き留めます

RADIUS認証および認可

環境に RADIUSサーバが含まれている場合は認証に RADIUSを使できますRADIUS認証にはRSA SecurIDセーフワードおよびゲマルトプロティバ製品が含まれます

bull プライマリ RADIUSサーバの IPアドレスとポートを書き留めますデフォルトのポートは 1812ですbull プライマリ RADIUSサーバシークレット（共有シークレット）を書き留めますbull セカンダリ RADIUSサーバの IPアドレスとポートを書き留めますデフォルトのポートは 1812ですbull セカンダリ RADIUSサーバシークレット（共有シークレット）を書き留めますbull パスワードエンコードのタイプ（PAPCHAPMS-CHAP v1MSCHAP v2）を書き留めます

SAML認証

セキュリティーアサーションマークアップ語 (SAML)はIDプロバイダー (IdP)とサービスプロバイダーの間で認証と承認を交換するための XMLベースの標準です

bull セキュアな IdP証明書を取得して Citrix Gatewayにインストールしますbull リダイレクト URLを書き留めますbull ユーザフィールドを書き留めますbull 署名証明書の名前を書き留めますbull SAML発者名を書き留めますbull デフォルトの認証グループを書き留めます

ファイアウォールを介したポートのオープン（シングルホップ DMZ）

組織が単の DMZで内部ネットワークを保護しDMZに Citrix Gatewayを展開する場合はファイアウォールを介して次のポートを開きますダブルホップ DMZ展開に 2つの Citrix Gatewayアプライアンスをインストールする場合はファイアウォールで適切なポートを開くを参照してください


Citrix Gateway 130

セキュリティで保護されていないネットワークと DMZ間のファイアウォール

bull インターネットと Citrix Gatewayの間のファイアウォールで TCPSSLポート（デフォルト 443）を開きますユーザーデバイスはこのポートで Citrix Gatewayに接続します

セキュリティで保護されたネットワーク間のファイアウォール

bull DMZとセキュリティで保護されたネットワーク間のファイアウォールで 1つ以上の適切なポートを開きますCitrix Gatewayは1つ以上の認証サーバーまたはこれらのポート上の保護されたネットワーク内の CitrixVirtual Apps and Desktopsを実しているコンピューターに接続します

bull 認証ポートを書き留めます

Citrix Gateway構成に適したポートのみを開きます

ndash LDAP接続の場合デフォルトは TCPポート 389ですndash RADIUS接続の場合デフォルトはUDPポート 1812ですCitrix Virtual Apps and Desktopsのポートをメモします

bull Citrix Virtual Apps and Desktopsで Citrix Gatewayを使している場合はTCPポート 1494を開きますセッション画の保持を有効にする場合は1494ではなく TCPポート 2598を開きますこれらのポートは両とも開いたままにしておくことをお勧めします

Citrix Virtual DesktopsCitrix Virtual AppsWeb Interfaceまたは StoreFront

Citrix Gatewayを展開してWeb Interfaceまたは StoreFront経由で Citrix Virtual Apps and Desktopsにアクセスできるようにする場合は以下のタスクを実しますこの展開ではCitrix Gatewayプラグインは必要ありませんユーザーはWebブラウザーと Citrix Receiverのみを使してCitrix Gateway経由で公開アプリケーションおよびデスクトップにアクセスします

bull Web Interfaceまたは StoreFrontを実しているサーバーの FQDNまたは IPアドレスを書き留めますbull Secure Ticket Authority（STA）を実しているサーバの FQDNまたは IPアドレスを書き留めます（Web

Interfaceの場合のみ）

Citrix Endpoint Management

内部ネットワークに Citrix Endpoint Managementを展開する場合は以下のタスクを実しますユーザーがインターネットなどの外部ネットワークから Endpoint Managementに接続する場合ユーザーはモバイルWebSaaSアプリケーションにアクセスする前に Citrix Gatewayに接続する必要があります

bull Endpoint Managementの FQDNまたは IPアドレスを書き留めますbull ユーザーがアクセスできるウェブSaaSモバイル iOSまたは Androidアプリケーションを特定します


Citrix Gateway 130

Citrix Virtual Appsを使したダブルホップ DMZ展開

ダブルホップ DMZ構成で 2つの Citrix Gatewayアプライアンスを展開してCitrix Virtual Appsを実しているサーバーへのアクセスをサポートする場合は以下のタスクを実します

最初の DMZでの Citrix Gateway

最初の DMZは内部ネットワークの最も外側のエッジ (インターネットまたは安全でないネットワークに最も近い)にある DMZですクライアントはDMZとインターネットを分離するファイアウォールを介して最初の DMZのCitrix Gatewayに接続します最初の DMZに Citrix Gatewayをインストールする前にこの情報を収集してください

bull この Citrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションの項にします

これらの項を完了するとインターフェイス 0はこの Citrix Gatewayをインターネットに接続しインターフェイス 1はこの Citrix Gatewayを 2番の DMZの Citrix Gatewayに接続します

bull プライマリアプライアンスで 2番の DMZアプライアンス情報を設定します

ダブルホップ DMZの最初のホップとして Citrix Gatewayを構成するには最初の DMZのアプライアンス上の 2番の DMZで Citrix Gatewayのホスト名または IPアドレスを指定する必要があります最初のホップでアプライアンス上で Citrix Gatewayプロキシーをいつ構成するかを指定したらCitrix Gatewayにグローバルにバインドするか仮想サーバーにバインドします

bull アプライアンス間の接続プロトコルとポートをメモします

重 DMZ の最初のホップとして Citrix Gateway を構成するには接続プロトコルと 2 番の DMZ のCitrix Gatewayが接続をリッスンするポートを指定する必要があります接続プロトコルとポートは SSLを使する SOCKS (デフォルトのポート 443)ですプロトコルとポートは最初の DMZと 2番の DMZを分離するファイアウォールを介して開かれている必要があります

2番の DMZの Citrix Gateway

2 番の DMZ は内部のセキュアなネットワークに最も近い DMZ です2 番の DMZ に展開された CitrixGatewayはICAトラフィックのプロキシとして機能し外部ユーザーデバイスと内部ネットワーク上のサーバー間で 2番の DMZを通過します

bull この Citrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションのタスクを完了します

これらの項を完了するとインターフェイス 0がこの Citrix Gatewayを最初の DMZの Citrix Gatewayに接続することに注意してくださいインターフェイス 1はこの Citrix Gatewayをセキュリティ保護されたネットワークに接続します


Citrix Gateway 130



March 26 2020

Citrix Gatewayにあるソフトウェアは新しいリリースが利可能になったときにアップグレードできますあなたはCitrixのウェブサイト上で更新を確認することができます新しいリリースにアップグレードできるのはアップデートがリリースされたときに Citrix Gatewayライセンスが Subscription Advantageプログラムに登録されている場合のみですSubscription Advantageはいつでも更新できます詳細についてはシトリックスサポートWebサイトを参照してください

Citrix Gatewayの最新のメンテナンスリリースについてはCitrix Knowledge Centerを参照してください

ソフトウェアの更新を確認するには

1 シトリックスのWebサイトにアクセスします2 [My Account]をクリックしてログオンします3［ダウンロード］をクリックします4［ダウンロードの検索］で Citrix Gatewayを選択します5 [ダウンロードの種類を選択]で[製品ソフトウェア]を選択し[検索]をクリックします仮想アプライアンスを選択してCitrix ADC VPXをダウンロードすることもできますこの場合対象のハイパーバイザーを選択するためのページが開きます

6［Citrix Gatewayページで［Citrix ADC Gateway］または［Access Gateway］を展開します7 ダウンロードするアプライアンスソフトウェアのバージョンをクリックします8 ダウンロードするバージョンのアプライアンスソフトウェアページで仮想アプライアンスを選択しダウンロードをクリックします

9 画の指に従ってソフトウェアをダウンロードしてください

ソフトウェアをコンピュータにダウンロードしたらアップグレードウィザードまたはコマンドプロンプトを使してソフトウェアをインストールできます

アップグレードウィザードを使して Citrix Gatewayをアップグレードするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム]をクリックします2 詳細ウィンドウで[アップグレードウィザード]をクリックします3［Next］をクリックしてウィザードの指に従います


Citrix Gateway 130

コマンドプロンプトを使して Citrix Gatewayをアップグレードするには

1 ソフトウェアを Citrix GatewayにアップロードするにはWinSCPなどのセキュアな FTPクライアントを使してアプライアンスに接続します

2 ソフトウェアをコンピュータからアプライアンスの varnsinstallディレクトリにコピーします

3 PuTTYなどのセキュアシェル（SSH）クライアントを使してアプライアンスへの SSH接続を開きます

4 Citrix Gatewayにログオンします

5 コマンドプロンプトで次のコマンドを実しますshell

6 nsinstall ディレクトリに移動するにはコマンドプロンプトで次のようにしますcd varnsinstall

7 ディレクトリの内容を表するには次のようにしますls

8 ソフトウェアを解凍するにはtar mdashxvzfビルド _X_XXtgzとします

ここでbuild_X_XXtgzはアップグレードするビルドの名前です

9 インストールを開始するにはコマンドプロンプトで次のようにしますinstallns

10 インストールが完了したらCitrix Gatewayを再起動します

Citrix Gatewayの再起動後インストールが正常に完了したことを確認するには構成ユーティリティーを起動しますアプライアンスの Citrix Gatewayのバージョンが右上隅に表されます



April 9 2020

Citrix Gatewayアプライアンスを受け取ったらアプライアンスを開梱しサイトとラックを準備しますアプライアンスを設置する場所が環境基準を満たしており指に従ってサーバラックが設置されていることを確認したらハードウェアを取り付けますアプライアンスをマウントしたらネットワーク電源および初期設定に使するコンソール端末に接続しますアプライアンスの電源をれたら初期構成を実し管理およびネットワーク IPアドレスを割り当てますインストール順に記載されている注意事項と警告を必ず守ってください

Citrix ADC VPX仮想アプライアンスをインストールする場合はまず仮想アプライアンスのイメージを取得しHypervisorまたは他の仮想マシンモニターにインストールする必要があります

Citrix Gatewayアプライアンスを構成する前に設定を書き留めておくことができるようにCitrix Gatewayのインストール前のチェックリストトピックを使することをお勧めしますこのチェックリストにはCitrix Gatewayとアプライアンスのインストールに関する情報が含まれています


Citrix Gateway 130



March 26 2020

Citrix Gatewayで基本ネットワーク設定を構成したらユーザーがセキュリティで保護されたネットワーク上のネットワークリソースに接続できるように詳細設定を構成しますこれらの設定には次のものがあります

bull 仮想サーバCitrix Gatewayで複数の仮想サーバーを構成できるため実装する必要のあるユーザーシナリオに応じて異なるポリシーを作成できます各仮想サーバには独の IPアドレス証明書およびポリシーセットがありますたとえば仮想サーバーを構成しグループのメンバシップと仮想サーバーにバインドするポリシーに応じて内部ネットワークのネットワークリソースにユーザーを制限できます仮想サーバーを作成するには次の法を使します

ndash クイック構成ウィザードndash Citrix Gatewayウィザードndash 構成ユーティリティ

bull 可性ネットワークに 2つの Citrix Gatewayアプライアンスを展開するときに可性を構成できますプライマリアプライアンスに障害が発した場合セカンダリアプライアンスはユーザーセッションに影響を与えずに引き継ぐことができます

bull 証明書証明書を使してCitrix Gatewayへのユーザー接続をセキュリティで保護できます証明書署名要求 (CSR)を作成するときは証明書に完全修飾ドメイン名を追加します証明書を仮想サーバーにバインドできます

bull 認証Citrix Gatewayではローカル LDAPRADIUSSAMLクライアント証明書TACACS+など複数の認証タイプがサポートされていますさらにカスケード認証と 2要素認証を構成できます注認証に RSASafewordまたは Gemalto Protivaを使している場合はRADIUSを使してこれらのタイプを構成します

bull ユーザー接続セッションプロファイルを使してユーザー接続を構成できますプロファイル内ではユーザーがログオンできるプラグインとユーザーが必要とする制限事項を決定できます次に1つのプロファイルでポリシーを作成できますセッションポリシーはユーザーグループ仮想サーバーにバインドできます

bull ホームページデフォルトのアクセスインタフェースをホームページとして使することもカスタムホームページを作成することもできますユーザーが Citrix Gatewayに正常にログオンするとホームページが表されます

bull エンドポイント解析Citrix Gatewayではユーザーのログオン時にユーザーデバイスにソフトウェアファイルレジストリエントリプロセスおよびオペレーティングシステムがないかチェックするポリシーを構成できますエンドポイント分析ではユーザーデバイスに必要なソフトウェアが必要とされるためネットワークのセキュリティを強化できます


Citrix Gateway 130


構成ユーティリティの使

April 9 2020

構成ユーティリティではほとんどの Citrix Gateway設定を構成できます構成ユーティリティにアクセスするにはWebブラウザを使します

構成ユーティリティにログオンするには

1 WebブラウザでCitrix Gatewayのシステム IPアドレスをします（http1921681001など）注Citrix Gatewayにはデフォルトの IPアドレス1921681001とサブネットマスク25525500が事前構成されています

2 [ユーザー名]と [パスワード]に「nsroot」とします3［展開の種類］で Citrix Gatewayを選択し［ログイン］をクリックします

構成ユーティリティに初めてログオンするとデフォルトで [ホーム]タブにダッシュボードが開きます［ホーム］タブではクイック構成ウィザードを使して仮想サーバー認証証明書および Citrix Endpoint Managementの設定を構成できますクイック構成ウィザードではStoreFrontまたはWeb Interface設定を構成することもできます

Citrix Gatewayの構成について詳しくは以下を参照してください

bull「セットアップウィザードを使した初期設定の構成」を参照してくださいbull Configuring Settings with the Quick Configuration Wizardbull「Citrix Gatewayウィザードを使した設定の構成」を参照してください


Citrix Gatewayのポリシーとプロファイル

March 26 2020


Citrix Gateway 130

Citrix Gatewayのポリシーとプロファイルを使すると特定のシナリオまたは条件下で構成設定を管理および実装できます個々のポリシーでは指定した連の条件が満たされたときに有効になる構成設定を規定または定義します各ポリシーには意の名前がありポリシーにバインドされたプロファイルを持つことができます

Citrix Gatewayでのポリシーの詳細については以下のトピックを参照してください



April 9 2020

ポリシーはブール条件とプロファイルと呼ばれる設定の集まりで構成されます条件は実時に評価されポリシーを適する必要があるかどうかを判断します

プロファイルとは特定のパラメータを使した設定の集まりですプロファイルには任意の名前を付けることができ複数のポリシーで再利できますプロファイル内で複数の設定を構成できますがポリシーごとに含めることができるプロファイルは 1つだけです

ポリシーを設定した条件とプロファイルを使して仮想サーバグループユーザーまたはグローバルにバインドできますポリシーは管理する構成設定のタイプによって参照されますたとえばセッションポリシーではユーザーのログオン法やユーザーのログオン状態を維持できる時間を制御できます

Citrix Virtual Appsで Citrix Gatewayを使している場合Citrix Gatewayのポリシー名がフィルターとしてCitrix Virtual Appsに送信されますCitrix Virtual Appsおよび SmartAccessと連携するようにCitrix Gatewayを構成する場合はCitrix Virtual Appsで次の設定を構成します

bull アプライアンス上で構成されている仮想サーバーの名前この名前はCitrix Gatewayファーム名としてCitrix Virtual Appsに送信されます

bull 事前認証またはセッションポリシーの名前はフィルタ名として送信されます

Citrix Endpoint Management と連携するように Citrix Gateway を設定する法の詳細については「CitrixEndpoint Management環境の設定の構成」を参照してください

Citrix Virtual Apps and Desktopsで機能する Citrix Gateway構成について詳しくは「Web Interfaceを使した Citrix Virtual Apps および Citrix Virtual Desktops リソースへのアクセス」および「Citrix EndpointManagementまたは StoreFrontとの統合」を参照してください

事前認証ポリシーの詳細についてはエンドポイントポリシーの設定を参照してください



Citrix Gateway 130


March 26 2020

ポリシーはポリシーがバインドされている順序で優先順位付けされ評価されます

ポリシープライオリティは次の 2つの法で決定します

bull ポリシーがバインドされるレベル（グローバル仮想サーバグループまたはユーザー）ポリシーレベルは次のように上位から下位にランク付けされます

ndash ユーザー（最もい優先度）ndash グループndash 仮想サーバndash グローバル（最も低い優先度）

bull ポリシーがバインドされているレベルに関係なく数値優先順位が優先されますグローバルにバインドされたポリシーの優先順位番号が 1でユーザーにバインドされた別のポリシーの優先順位番号が 2の場合グローバルポリシーが優先されますプライオリティ番号がさいほどポリシーの優先順位がくなります



March 26 2020

ポリシーを設定する場合任意のブール式を使してポリシーが適される条件を表すことができます条件付きポリシーを設定する場合次のような使可能な任意のシステム式を使できます

bull クライアントセキュリティストリングbull ネットワーク情報bull HTTPヘッダーとクッキーbull 時間帯bull クライアント証明書の値

SmartAccessのセッションポリシーなどユーザーデバイスが特定の条件を満たしている場合にのみ適するポリシーを作成することもできます

条件付きポリシーを設定するもう 1つの例はユーザーの認証ポリシーを変更することですたとえば宅のコンピュータやモバイルデバイスからMicro VPNを使するなど内部ネットワークの外部から Citrix Gatewayプラグインを使して接続しているユーザーはLDAPを使して認証されワイドエリアネットワーク（WAN）経由で接続しているユーザーは認証されるように要求できますを使してRADIUSを使します


Citrix Gateway 130

注ポリシー規則がセッションプロファイルのセキュリティ設定の部として構成されている場合エンドポイント分析結果に基づくポリシー条件は使できません


Citrix Gatewayでのポリシーの作成

March 26 2020

構成ユーティリティを使してポリシーを作成できますポリシーを作成したら適切なレベル (ユーザーグループ仮想サーバーまたはグローバル)にポリシーをバインドしますポリシーをこれらのレベルの 1つにバインドするとポリシー条件が満たされていればユーザーはプロファイル内で設定を受け取ります各ポリシーとプロファイルには意の名前があります

展開の部として Citrix Endpoint Managementまたは StoreFrontを使している場合はクイック構成ウィザードを使してこの展開の設定を構成できますウィザードの詳細についてはConfiguring Settings with theQuick Configuration Wizardを参照してください



March 26 2020

システム式はポリシーが適される条件を指定しますたとえば事前認証ポリシーの式はユーザーがログオンしているときに適されますセッションポリシーの式はユーザーが認証されCitrix Gatewayにログオンした後に評価され適されます

Citrix Gatewayでは次の式を使できます

bull Citrix Gatewayへの接続を確するときにユーザーが使できるオブジェクトを制限する般的な式bull ユーザーデバイスにインストールして実する必要があるソフトウェアファイルプロセスまたはレジストリ値を定義するクライアントセキュリティ式

bull ネットワーク設定に基づいてアクセスを制限するネットワークベースの式

Citrix GatewayはCitrix ADCアプライアンスとして使することもできますアプライアンス上の部の式はCitrix ADCにより適可能です般的な式とネットワークベースの式はCitrix ADCで般的に使され般的に Citrix Gatewayでは使されませんCitrix Gatewayではクライアントセキュリティ式を使して正しいアイテムがユーザーデバイスにインストールされているかどうかを判断します


Citrix Gateway 130

クライアントセキュリティ式の設定

式はポリシーのコンポーネントです式は要求または応答に対して評価される単の条件を表します次のような条件をチェックする単純な式のセキュリティ字列を作成できます

bull サービスパックを含むユーザーデバイスのオペレーティングシステムbull ウイルス対策ソフトウェアのバージョンとウイルス定義bull ファイルbull プロセスbull レジストリ値bull ユーザー証明書



March 26 2020

単純な式は単の条件をチェックします単純な式の例を次にします

REQHTTPURL == HTTPwwwmycompanycom

複合式は複数の条件をチェックします複合式を作成するには論理演算 ampampと

シンボルを使して評価の順序で式をグループ化できます

複合式は次のように分類できます

bull 名前の付いた式独したエンティティとして名前付き式は他のポリシーで再利できポリシーの部になります名前付き式は設定ユーティリティのシステムレベルで設定します定義済みの名前付き式をポリシーで使することも独の式を作成することもできます

bull インライン式インライン式はポリシーに固有のポリシー内で構築する式です

名前付き式を作成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[AppExpert]を展開し[式]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ポリシー式の作成]ダイアログボックスの [式名]に式の名前をします


Citrix Gateway 130

4 式を作成するには[追加]をクリックします5 次のいずれかをいます

a) [よく使する式]で覧から式を選択し[OK]をクリックし[作成]をクリックして[閉じる]をクリックします

b) [式を作成]で式字列のパラメータを選択し[OK]をクリックし[作成]をクリックして[閉じる]をクリックします



March 26 2020

ポリシーを作成する場合はポリシーの設定中にカスタム式を作成できますたとえばユーザーが Citrix Gatewayプラグインを使してログオンしたりセッションの制限時間を設定したりWindowsでシングルサインオンを許可したりするためのセッションプロファイルを作成するとしますセッションプロファイルを作成したら[セッションポリシーの作成]ダイアログボックスで式を作成できます次の例はプロセスおよびウイルス対策アプリケーションをチェックする式をしています

クライアントアプリケーションプロセス (ccappexe)は存在する-頻繁な 5 ampampampクライアントアプリケーションAV (シマンテック) バージョン ==1420029-新鮮さ 5 ampampampns_true


ポリシー式での演算と演算の使

March 26 2020

演算は1つまたは複数のオブジェクト (オペランドを操作する演算ブール演算リレーショナルなど)を識別する記号ですこのトピックの最初のセクションでは使できる演算を定義し定義をします2番のセクションではメソッドURLクエリなどの特定の修飾で使できる演算をします

演算と定義

このセクションではポリシー式を作成するときに使できる演算を定義しその演算について説明します

bull == =等式次数


Citrix Gateway 130

これらの演算は完全致をテストします字と字が区別されます（rsquolsquocmdexerdquoは ldquocMdexerdquo lsquoと等しくありません）これらの演算は正確な構を満たす特定の字列を許可するが他の字列を除外する権限を作成する場合に便利です

bull GT

この演算は数値較に使されますこれはURLとクエリ字列のさに使されます

bull CONTAINS NOTCONTAINS

これらの演算は指定された修飾に対してチェックを実し指定された字列が修飾に含まれているかどうかを判断しますこれらの演算では字と字は区別されません

bull EXISTS NOTEXISTS

これらの演算は特定の修飾の存在をチェックしますたとえばこれらの演算を HTTPヘッダーに適して特定の HTTPヘッダーが存在するかまたは URLクエリが存在するかを判断できます

bull CONTENTS

この演算は修飾が存在し内容があるかどうか（つまり値に関係なくヘッダーが存在しそれに関連付けられた値があるかどうか）をチェックします

修飾演算オペランドアクションおよび例

このセクションでは演算とオペランドに使できるパラメータをします各項は修飾で始まり関連する演算とオペランドがリストされ式が実するアクションが記述され例がされます

bull 法

演算EQNEQオペランド必須-標準 HTTPメソッド-サポートされているメソッド- GET HEAD POST PUT DELETE OPTIONS TRACE CONNECTアクション設定されたメソッドへの着信要求メソッドを検証します例メソッド EQ GET

URL

bull

演算EQ NEQオペランド必須URL (形式[プレフィックス] [] [サフィックス])アクション設定された URLで着信 URLを確認します例URL EQFooaspURL EQ foo


Citrix Gateway 130

URL EQ aspURL EQ fooasp

bull

演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)アクション構成されたパターンの有無について着信 URLを検証します（URLおよび URLクエリを含む）例URLは lsquoZZZrsquoを含み

bull URL LEN

演算GTオペランド必須さ (整数値)処理着信 URLのさと設定されたさを較します（URLおよび URLクエリを含む）例URLLEN GT 60

bull URL QUERY

演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)オプションさおよびオフセット処理着信 URLクエリーで構成されたパターンが存在するかどうかを検証しますCONTENTSと同様に使されますオプションが指定されていない場合はパターンの後の URLクエリ全体が使されますオプションが存在する場合パターンの後のクエリのさのみが使されますオフセットはパターンの検索を開始する位置をすために使されます例URLQUERY CONTAINS lsquoZZZrsquo

bull URL QUERY LEN

演算GTオペランド必須さ (整数値)処理着信 URLクエリのさと設定されたさを較します例URLQUERYLN GT 60

bull URL TOKENS

演算EQ NEQオペランド必須URLトークン (サポートされている URLトークン = + amp)アクション着信URLを較して設定されたトークンの存在を確認します疑問符の前にバックスラッシュ（）をする必要があります例URLTOKENS EQ lsquo + amp rsquo

bull VERSION


Citrix Gateway 130

演算EQ NEQオペランド必須標準 HTTPバージョン有効な HTTPバージョン字列 HTTP10HTTP11アクション着信リクエストの HTTPバージョンと設定された HTTPバージョンを較します例VERSION EQ HTTP11

Header

bull

演算EXISTSNOTEXISTSオペランドなし処理受信要求で HTTPヘッダーの存在を検査します例Header Cookie EXISTS

bull

演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)オプションさおよびオフセット処理着信要求で特定のヘッダーに構成されたパターンが存在するかどうかを検証しますCONTENTSと同様に使されますオプションが指定されていない場合はパターンの後の HTTPヘッダー値全体が使されますオプションが存在する場合パターンの後のヘッダーのさのみが使されますオフセットはパターンの検索を開始する位置をすために使されます例Header Cookie CONTAINS ldquoampsidrdquo

bull

演算CONTENTSオペランドオプションさおよびオフセット処理HTTPヘッダーの内容を使しますオプションを指定しない場合はHTTPヘッダー値全体が使されますオプションが存在する場合オフセットから始まるヘッダーのさのみが使されます例Header User-Agent CONTENTS

bull SOURCEIP

オペレータEQ NEQオペランド必須IPアドレスオプションサブネットマスクアクション着信要求の送信元 IPアドレスを設定された IPアドレスと照合して検証しますオプションのサブネットマスクが指定されている場合着信要求は設定された IPアドレスおよびサブネットマスクに対して検証されます例Sourceip EQ 1921681000 -netmask 2552552550

bull DESTIP

オペレータEQ NEQオペランド必須IPアドレス


Citrix Gateway 130

オプションサブネットマスクアクション着信要求の宛先 IPアドレスを設定された IPアドレスと照合して検証しますオプションのサブネットマスクが指定されている場合着信要求は設定された IPアドレスおよびサブネットマスクに対して検証されます例Sourceip EQ 1921681000 -netmask 2552552550

bull SOURCEPORT

オペレータEQ NEQオペランド必須ポート番号オプションポート範囲アクション着信要求の送信元ポート番号を設定されたポート番号と照合して検証します例SOURCEPORT EQ 10-20

bull DESTPORT

オペレータEQNEQオペランド必須ポート番号オプションポート範囲アクション着信要求の宛先ポート番号を設定されたポート番号と照合して検証します例DESTPORT NEQ 80

bull CLIENTSSLVERSION

演算EQ NEQオペランド必須SSLバージョンアクションセキュアな接続で使されている SSLまたは TLSバージョンのバージョンを確認します例CLIENTSSLVERSION EQ SSLV3

bull CLIENTCIPHERTYPE

演算EQ NEQオペランド必須クライアント暗号タイプアクション使されている暗号の種類 (エクスポートまたはエクスポート)をチェックします例CLIENTCIPHERTYPE EQ EXPORT

bull CLIENTCIPHERBITS

演算EQNEQGELEGTLTオペランド必須クライアント暗号ビットアクション使されている暗号の鍵強度をチェックします例CLIENTCIPHERBITS GE 40

bull CLIENTCERT

演算EXISTSNOTEXISTSオペランドnoneアクションクライアントが SSLハンドシェイク中に有効な証明書を送信したかどうかを確認します例CLIENTCERT EXISTS


Citrix Gateway 130

bull CLIENTCERTVERSION

オペレータEQ NEQ GE LE GT LTオペランドクライアント証明書バージョンアクションクライアント証明書のバージョンを確認します例CLIENTCERTVERSION EQ 2

bull CLIENTCERTSERIALNUMBER

オペレータEQ NEQオペランド必須クライアント証明書のシリアル番号アクションクライアント証明書のシリアル番号を確認しますシリアル番号は字列として扱われます例CLIENTCERTSER IALNUMBER EQ 2343323

bull CLIENTCERTSIGALGO

演算EQ NEQオペランド必須クライアント証明書の署名アルゴリズムアクションクライアント証明書で使されている署名アルゴリズムをチェックします例CLIENTCERTSIGALGO EQ md5WithRSAEncryption

bull CLIENTCERTSUBJECT

演算CONTAINSNOTCONTAINSオペランド必須クライアント証明書のサブジェクトオプションさオフセットアクションクライアント証明書のサブジェクトフィールドをチェックします例CLIENTCERTSUBJECT CONTAINS CN= Access_Gateway

bull CLIENTCERTISSUER

演算CONTAINSNOTCONTAINSオペランド必須クライアント証明書発者オプションさオフセットアクションクライアント証明書の発者フィールドをチェックします例CLIENTCERTISSUER CONTAINS O=VeriSign

bull CLIENTCERTVALIDFROM

演算EQ NEQ GE LE GT LTオペランド必須付処理クライアント証明書が有効である付を確認します有効な付フォーマットは1994年 11 5（）081231（グリニッジ標準時）曜11 9〜 94午前 8時 12分 31秒（グリニッジ標準時）曜11 14午前 8時 12分 31秒（）です


Citrix Gateway 130

bull CLIENTCERTVALIDTO

演算EQ NEQ GE LE GT LTオペランド必須付処理クライアント証明書が有効になるまでの付をチェックします有効な付フォーマットは次のとおりですTue 05 Nov 1994 081231 GMTTuesday 05-Nov-94 081231 GMTTue Nov 14 081231 1994Example CLIENTCERTVALIDTO GE lsquoTue Nov 14 081231 1994rsquo


Citrix Gatewayの構成設定の表

March 26 2020

Citrix Gatewayの構成を変更するとその変更はログファイルに保存されますいくつかのタイプの構成設定を表できます

bull 保存された設定Citrix Gatewayに保存した設定を確認できますbull 実構成仮想サーバーや認証ポリシーなどCitrix Gatewayに保存した構成として保存していないアクティブな設定を表できます

bull 実構成と保存構成の較Citrix Gatewayで実中および保存済みの構成を並べて較できます

Citrix Gatewayの構成設定をクリアすることもできます

重要Citrix Gatewayの設定をクリアすると証明書仮想サーバーポリシーが削除されます構成をクリアしないことをお勧めします



March 26 2020

Citrix Gatewayの現在の構成をネットワーク上のコンピューターに保存したり現在の実構成を表したり保存済み構成と実構成を較したりできます


Citrix Gateway 130

Citrix Gateway上に構成を保存するには

1 構成ユーティリティの詳細ペインの上にある [保存]アイコンをクリックし[はい]をクリックします

Citrix Gatewayで構成ファイルを表および保存するには

保存された構成は仮想サーバーポリシーIPアドレスユーザーグループ証明書の設定などCitrix Gatewayのログファイルに保存される設定です

Citrix Gatewayで設定を構成するときにその設定をコンピューター上のファイルに保存できますCitrix Gatewayソフトウェアを再インストールする必要がある場合や誤って部の設定を削除した場合はこのファイルを使して構成を復元できます設定を復元する必要がある場合はファイルを Citrix GatewayにコピーしコマンドラインインターフェイスまたはWinSCPなどのプログラムを使してアプライアンスを再起動してファイルを CitrixGatewayにコピーします


2 詳細ペインの [構成の表]で[保存された構成]をクリックします3 [保存された構成]ダイアログボックスで[出テキストをファイルに保存]をクリックしファイルに名前を付け[保存]をクリックします注nsconfというファイル名でファイルを保存することをお勧めします

現在の実構成を表するには

Citrix Gatewayに加えた変更を保存する間をかけずに実構成と呼びますこれらの設定は Citrix Gatewayで有効ですがアプライアンスには保存されませんポリシー仮想サーバユーザグループなどの追加設定を構成した場合は実構成でこれらの設定を表できます


2 詳細ペインの [構成の表]で[実構成]をクリックします

保存された構成と実構成を較するには

アプライアンスに保存されている設定を確認しそれらの設定を実構成と較できます実構成を保存するか構成を変更するかを選択できます


2 詳細ペインの [構成の表]で[保存済み vs実中]をクリックします



Citrix Gateway 130


March 26 2020

Citrix Gatewayの構成設定をクリアできます次の 3つのレベルのうちクリアする設定を選択できます

重要Citrix Gatewayの構成設定をクリアする前に構成を保存することをお勧めします

bull 基本システム IPアドレスデフォルト Gatewayマッピングされた IPアドレスサブネット IPアドレスDNS設定ネットワーク設定可性設定管理パスワード機能およびモード設定を除きアプライアンス上のすべての設定をクリアします

bull [拡張] システム IPアドレスマッピング IPアドレスサブネット IPアドレスDNS設定および可性定義を除くすべての設定をクリアします

bull フルアプライアンスへのネットワーク接続を維持するために必要なシステム IP（NSIP）アドレスとデフォルトルートを除く場出荷時の設定に構成を復元します

構成のすべてまたは部をクリアすると機能設定は場出荷時のデフォルト設定に設定されます

構成をクリアしても証明書やライセンスなどCitrix Gatewayに保存されているファイルは削除されませんファイル nsconfは変更されません構成をクリアする前に構成を保存する場合はまず構成をコンピュータに保存します構成を保存するとCitrix Gatewayで nsconfファイルを復元できますアプライアンスにファイルを復元して Citrix Gatewayを再起動するとnsconfの構成設定が復元されます

rcconfなどの設定ファイルへの変更は元に戻りません

可性ペアを使している場合両の Citrix Gatewayアプライアンスが同じように変更されますたとえば1つのアプライアンスの基本設定をクリアすると変更内容が 2番のアプライアンスに伝播されます

Citrix Gatewayの構成設定をクリアするには


2 詳細ペインの [メンテナンス]で[構成のクリア]をクリックします3 [構成レベル]でクリアするレベルを選択し[実]をクリックします


ウィザードを使した Citrix Gatewayの構成

April 9 2020

Citrix Gatewayにはアプライアンスの設定に使できる次の 6つのウィザードがあります


Citrix Gateway 130

bull Citrix Gatewayアプライアンスに初めてログオンすると初回セットアップウィザードが表されますbull セットアップウィザードではCitrix Gatewayの基本設定を初めて構成できますbull Citrix Endpoint Managementの統合構成はCitrix Gatewayと Citrix Endpoint Management環境を構成するのに役ちます

bull クイック構成ウィザードではCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceへの接続に関する正しいポリシー式および設定を構成できます

bull Citrix GatewayウィザードではCitrix Gateway固有の設定を構成できますbull 公開アプリケーションウィザードではCitrix Workspaceアプリを使してユーザー接続の設定を構成できます

初回セットアップウィザードの仕組み

Citrix Gatewayアプライアンスの初期設定のインストールと構成が完了したら構成ユーティリティに初めてログオンするときに次の条件が満たされない場合は初回セットアップウィザードが表されます

bull アプライアンスにライセンスがインストールされていませんbull サブネットまたはマッピング IPアドレスを設定していませんbull アプライアンスのデフォルト IPアドレスが 1921681001の場合

セットアップウィザードの仕組み

セットアップウィザードを使してアプライアンスで次の初期設定を構成します

bull システム IPアドレスとサブネットマスクbull マッピングされた IPアドレスとサブネットマスクbull ホスト名bull デフォルトゲートウェイbull ライセンス

注セットアップウィザードを実する前にCitrixのWebサイトからライセンスをダウンロードしてください詳細については「Citrix Gatewayのライセンス」を参照してください

統合 Citrix Endpoint Management構成の仕組み

Citrix Endpoint Management MDMを使して Citrix Gatewayを展開するとアプリケーションのスケーリング可性の確保およびセキュリティの維持が可能ですCitrix Endpoint Management構成を使するにはバージョン 101ビルド 1201316eをインストールする必要があります

統合 Citrix Endpoint Management構成では次のものが作成されます

bull デバイスマネージャのロードバランシングサーバ


Citrix Gateway 130

bull メールフィルタリング機能を備えたMicrosoft Exchangeのサーバーの負荷分散bull ShareFileのサーバーの負荷分散

統合 Citrix Endpoint Management構成での設定の作成について詳しくは「Citrix Endpoint Management環境の設定の構成」を参照してください

クイック構成ウィザードの仕組み

クイック構成ウィザードではCitrix Gatewayで複数の仮想サーバーを構成できます仮想サーバーを追加編集削除できます

クイック構成ウィザードでは次の展開をシームレスに構成できます

bull Citrix Virtual Apps and DesktopsへのWeb Interface接続Secure Ticket Authority（STA）の複数のインスタンスを構成できます

bull Citrix Endpoint Managementのみbull StoreFrontのみbull Citrix Endpoint Managementと StoreFrontの併

クイック構成ウィザードではアプライアンスで次の設定を構成できます

bull 仮想サーバ名IPアドレスおよびポートbull セキュアポートからセキュアポートへのリダイレクションbull LDAPサーバーbull RADIUSサーバーbull 証明書bull DNSサーバーbull Citrix Endpoint Managementと Citrix Virtual Apps and Desktops

Citrix GatewayはCitrix Endpoint Managementへのユーザー接続を直接サポートしますこれによりユーザーは ShareFileへのアクセスに加えて分のWebSaaSおよびモバイルアプリケーションにアクセスできるようになりますStoreFrontの設定を構成してユーザーがWindowsベースのアプリケーションおよび仮想デスクトップにアクセスできるようにすることもできます

クイック構成ウィザードを実するとCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceの設定に基づいて次のポリシーが作成されます

bull セッションポリシー（ReceiverReceiver for WebCitrix Gatewayプラグインおよびプログラムネイバーフッドエージェントのポリシーとプロファイルなど）

bull クライアントレスアクセスbull LDAPおよび RADIUS認証

Citrix Gatewayウィザードの仕組み

Citrix Gatewayウィザードを使してアプライアンスで次の設定を構成します


Citrix Gateway 130

bull 仮想サーバーbull 証明書bull ネームサービスプロバイダbull 認証bull 承認bull ポートのリダイレクトbull クライアントレスアクセスbull SharePointのクライアントレスアクセス

公開アプリケーションウィザードの仕組み

公開アプリケーションウィザードを使して内部ネットワーク内の Citrix Virtual Apps and Desktopsを実しているサーバーに接続するように Citrix Gatewayを構成します公開アプリケーションウィザードでは次の操作を実できます

bull サーバファームに接続する仮想サーバを選択しますbull Web Interfaceまたは StoreFrontのユーザー接続シングルサインオンおよび Secure Ticket Authorityの設定を構成します

bull SmartAccessのセッションポリシーを作成または選択します

ウィザード内ではユーザー接続のセッションポリシー式を作成することもできますサーバーファームに接続するように Citrix Gatewayを構成する法の詳細については「Web Interfaceを使した公開アプリケーションおよび Virtual Desktopsへのアクセスの提供」を参照してください


初回セットアップウィザードを使した Citrix Gatewayの構成

March 26 2020

Citrix Gateway（物理アプライアンスまたは VPX仮想アプライアンス）を初めて構成するにはアプライアンスと同じネットワーク上に構成された管理コンピューターが必要です

アプライアンスの管理 IPアドレスとしてCitrix Gateway IP（NSIP）アドレスとサーバーが接続できるサブネット IP（SNIP）アドレスを割り当てる必要がありますCitrix Gatewayと SNIPアドレスの両に適されるサブネットマスクを割り当てますタイムゾーンも設定する必要がありますホスト名を割り当てる場合はNSIPアドレスの代わりに名前を指定してアプライアンスにアクセスできます

初回セットアップウィザードには2つのセクションがあります最初のセクションではCitrix Gatewayアプライアンスの基本的なシステム設定を構成します


Citrix Gateway 130

bull NSIPアドレスSNIPアドレスサブネットマスクbull アプライアンスのホスト名bull DNSサーバーbull タイムゾーンbull 管理者パスワード

2番のセクションではライセンスをインストールしますDNSサーバーのアドレスを指定するとローカルコンピューターからアプライアンスにライセンスをアップロードする代わりにハードウェアシリアル番号 (HSN)またはライセンスアクティベーションコード (LAC)を使してライセンスを割り当てることができます

注ライセンスをローカルコンピュータに保存することをお勧めします

これらの設定の構成が完了するとCitrix Gatewayからアプライアンスの再起動を求めるメッセージが表されますアプライアンスに再度ログオンすると他のウィザードと構成ユーティリティを使して追加設定を構成できます


Configuring Settings with the Quick ConfigurationWizard

April 9 2020

Citrix Gatewayでクイック構成ウィザードを使してCitrix Endpoint ManagementStoreFrontまたはWeb Interfaceとの通信を有効にするための設定を構成できます構成が完了するとウィザードによってCitrixGatewayEndpoint ManagementStoreFrontまたはWeb Interface間の通信に関する適切なポリシーが作成されますこれらのポリシーには認証セッションおよびクライアントレスアクセスポリシーが含まれますウィザードが完了するとポリシーが仮想サーバにバインドされます

クイック構成ウィザードを完了するとCitrix Gatewayは Endpoint Managementまたは StoreFrontと通信できユーザーはWindowsベースのアプリケーション仮想デスクトップWebSaaSおよびモバイルアプリケーションにアクセスできますユーザーは Endpoint Managementに直接接続できます

ウィザードでは次の設定を構成します

bull 仮想サーバ名IPアドレスおよびポートbull セキュアポートからセキュアポートへのリダイレクションbull 証明書bull LDAPサーバーbull RADIUSサーバーbull 認証のクライアント証明書 (2要素認証のみ)bull Endpoint ManagementStoreFrontまたはWeb Interface


Citrix Gateway 130

クイック構成ウィザードはLDAPRADIUSおよびクライアント証明書の認証をサポートしますウィザードで 2要素認証を構成するには次のガイドラインに従います

bull プライマリ認証タイプとして LDAPを選択した場合はセカンダリ認証タイプとして RADIUSを設定できます

bull プライマリ認証タイプとして RADIUSを選択した場合はセカンダリ認証タイプとして LDAPを設定できます

bull プライマリ認証タイプとしてクライアント証明書を選択した場合はセカンダリ認証タイプとして LDAPまたは RADIUSを設定できます

クイック構成ウィザードを使して複数の LDAP認証ポリシーを作成することはできませんたとえば[サーバーログオン名の属性]フィールドで sAMAccountNameを使するポリシーと[サーバーログオン名の属性]フィールドでユーザープリンシパル名 (UPN)を使する LDAPポリシーを構成するとしますこれらの個別のポリシーを構成するにはCitrix Gateway構成ユーティリティを使して認証ポリシーを作成します詳しくは「LDAP認証の構成」を参照してください

簡易構成ウィザードでは以下の法を使してCitrix Gatewayの証明書を構成できます

bull アプライアンスにインストールされている証明書を選択しますbull 証明書と秘密キーをインストールしますbull テスト証明書を選択します注テスト証明書を使する場合は証明書に含まれる完全修飾ドメイン名 (FQDN)を追加する必要があります

クイック構成ウィザードは次の 2つの法のいずれかで開くことができます

bull Citrix Gatewayのログオンページで［展開の種類］で［Citrix Gateway］を選択すると［ホーム］タブが表されます[展開の種類]で他のオプションを選択すると[ホーム]は表されません

bull Citrix Gatewayの詳細ペインの［Citrix Gatewayの作成監視］リンクから選択しますCitrix ADC機能を有効にするライセンスをインストールするとこのリンクが表されますCitrix Gatewayのみのアプライアンスのライセンスを取得した場合リンクは表されません

ウィザードを最初に実した後ウィザードを再度実して追加の仮想サーバーと設定を作成できます

重要クイック構成ウィザードを使して追加の Citrix Gateway仮想サーバーを構成する場合は意の IPアドレスを使する必要があります既存の仮想サーバーで使されている IPアドレスと同じ IPアドレスを使することはできませんたとえばIPアドレスが 192168105でポート番号が 80の仮想サーバーがあるとしますポート番号 443の IPアドレス 192168105の 2番の仮想サーバーを作成するのにはクイック構成ウィザードを実します構成を保存しようとするとエラーが発します

クイック構成ウィザードで設定を構成するには

1 構成ユーティリティで次のいずれかの操作をいますa) アプライアンスに Citrix Gatewayのみのライセンスが付与されている場合は［ホーム］タブをクリックします


Citrix Gateway 130

b) アプライアンスに Citrix ADC機能を含めるライセンスが付与されている場合は［構成］タブのナビゲーションペインで［Citrix Gateway］をクリックし詳細ペインの［はじめに］で［エンタープライズストアの Citrix Gatewayの構成］をクリックします

2 ダッシュボードで［新しい Citrix Gatewayの作成］をクリックします3 Citrix Gatewayの設定で以下を構成します

a) [名前]に仮想サーバーの名前をしますb) [IPアドレス]に仮想サーバーの IPアドレスをしますc)［Port］ボックスにポート番号をしますデフォルトのポート番号は 443ですd) ポート 80からポート 443へのユーザー接続を許可するには[ポート 80からセキュアポートへ要求をリダイレクト]を選択します

4［続］をクリックします5 [証明書]ページで次のいずれかの操作をいます

a) [証明書の選択]をクリックし[証明書]で証明書を選択しますb) [証明書のインストール]をクリックし[証明書の選択]で [キーの選択]の [参照]をクリックして証明書と秘密キーに移動します

c) [テスト証明書の使]をクリックし[証明書 FQDN]にテスト証明書に含まれる完全修飾ドメイン名(FQDN)をします

6［続］をクリックします7 [認証設定]で次の操作をいます

a) [プライマリ認証]で[LDAP][RADIUS]または [証明書]を選択しますb) 認証サーバーを選択するか前の順で選択した認証タイプの設定を構成します[Cert]を選択した場合はクライアント証明書を選択するか新しいクライアント証明書をインストールします

c) [セカンダリ認証]で認証の種類を選択し認証サーバーの設定を構成します8［続］をクリックします

ネットワークと認証の設定が完了したらCitrix Endpoint Management または Citrix Virtual Apps andDesktops（StoreFrontまたはWeb Interface）の設定を構成できます

エンタープライズストア設定の構成

Citrix Gateway ではWebSaaSモバイルアプリケーションおよび ShareFile へのユーザーアクセスはEndpoint Management経由でのみサポートされますStoreFrontまたはWeb Interfaceも展開するとユーザーはWindowsベースのアプリと仮想デスクトップにアクセスできます次のオプションの設定を構成できます

bull Endpoint Managementのみbull StoreFrontのみbull Endpoint Managementと StoreFrontの併bull Web Interfaceのみ

前の順で [続]をクリックすると展開シナリオの設定を構成できます次の順はCitrixの統合設定ページで開始します


Citrix Gateway 130

仮想サーバーを作成した後クイック構成ウィザードで仮想サーバーを編集してもCitrix Endpoint Managementまたは Citrix Virtual Apps and Desktopsの設定は変更できません

たとえばCitrix Enterprise Storeの設定を構成する前に仮想サーバーの構成をキャンセルすると設定をわずにWebインターフェイスが動的に選択されますこの状況が発した場合Web Interfaceを構成するために仮想サーバーの詳細を編集することはできますがCitrix Endpoint Managementに切り替えることはできません切り替えるには新しい仮想サーバを作成する必要があります構成中はウィザードをキャンセルしないでくださいWeb Interface仮想サーバーが必要ない場合はクイック構成ウィザードを使して削除できます

StoreFrontのみの設定を構成するには

1［Citrix Virtual Apps and Desktops］をクリックします2 [展開の種類]で[StoreFront]を選択します3 StoreFront サーバーの完全修飾ドメイン名（FQDN）にStoreFront サーバーの完全修飾ドメイン名（FQDN）をします

4 Receiver for Webパスでデフォルトのパスをそのまま使するか独のパスをします5 セキュアなユーザー接続の場合は[HTTPS]を選択します6「シングルサインオンドメイン」でStoreFrontのドメインをします7 StoreFrontを展開しCitrix Virtual Appsまたは Citrix Virtual Desktopsから公開アプリケーションへのアクセスを許可する場合はSTA URLにSecure Ticket Authority（STA）を実しているサーバーの完全な IPアドレスまたは FQDNをします


ユーザーが Citrix Gateway経由で StoreFrontに接続するとユーザーは Receiver for Webまたは Receiverからアプリやデスクトップを起動できます

Endpoint Managementのみの設定を構成するには

1［Citrix Endpoint Management］をクリックします2 [App Controller FQDN]にEndpoint Managementの FQDNをします3［完了］をクリックします

Web Interface設定を構成するには

1 クイック構成ウィザードで［Citrix Virtual Apps and Desktops］をクリックします2 [展開の種類]で [Web Interface]を選択し次の構成をいます

a)［Citrix Virtual AppsサイトのURL］にWeb Interfaceの完全な IPアドレスまたは FQDNをします

b) Citrix Virtual Appsサービスサイトの URLにPNAgentパスを含むWeb Interfaceの完全な IPアドレスまたは FQDNをします既定のパスをすることも独のパスをすることもできます


Citrix Gateway 130

c)「シングルサインオンドメイン」で使するドメインをしますd) [STA URL]にSTAを実しているサーバーの完全な IPアドレスまたは FQDNをします



Citrix Gatewayウィザードを使した設定の構成

April 9 2020

セットアップウィザードを実した後Citrix Gatewayウィザードを実して Citrix Gatewayに追加の設定を構成できますCitrix Gatewayウィザードは構成ユーティリティから実します

Citrix Gatewayにはテスト証明書が付属しています認証局（CA）からの署名付き証明書がない場合はCitrixGatewayウィザードを使してテスト証明書を使できます署名付き証明書を受け取ったらテスト証明書を削除し署名付き証明書をインストールできますCitrix Gatewayを公開する前に署名付き証明書を取得することをお勧めします

注証明書署名リクエスト（CSR）はCitrix Gatewayウィザードから作成できますCitrix Gatewayウィザードを使して CSRを作成する場合はウィザードを終了しCAから署名付き証明書を受け取ったときにウィザードを再度開始する必要があります証明書について詳しくは「証明書のインストールと管理」を参照してください

仮想サーバーを構成するときにCitrix Gatewayウィザードでインターネットプロトコルバージョン 6（IPv6）のユーザー接続を構成できますユーザー接続の IPv6の使について詳しくはユーザ接続の IPv6の設定を参照してください

Citrix Gatewayウィザードを起動するには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3［Next］をクリックしてウィザードの指に従います



Citrix Gateway 130

Citrix Gatewayでのホスト名および完全修飾ドメイン DNの構成

March 26 2020

ホスト名はライセンスファイルに関連付けられた Citrix Gatewayアプライアンスの名前ですホスト名はアプライアンスに固有でユニバーサルライセンスをダウンロードするときに使されますホスト名はセットアップウィザードを実して Citrix Gatewayを初めて構成するときに定義します

完全修飾ドメイン名 (FQDN)は仮想サーバーにバインドされる署名付き証明書に含まれますCitrix GatewayでFQDNを構成しないでください1つのアプライアンスは証明書を使して Citrix Gatewayで構成された各仮想サーバーに意の FQDNを割り当てることができます

証明書の詳細を表すると証明書の FQDNを検索できますFQDNは証明書のサブジェクトフィールドにあります

証明書の FQDNを表するには


2 詳細ペインで証明書を選択し[操作][詳細]の順にクリックします3 [証明書の詳細]ダイアログボックスで[件名]をクリックします証明書の FQDNが覧に表されます



March 26 2020

Citrix Gatewayでは証明書を使して安全な接続を作成しユーザーを認証します

セキュアな接続を確するには接続のの端にサーバー証明書が必要ですサーバー証明書を発した認証局(CA)のルート証明書は接続のもうの端に必要です

bull サーバー証明書サーバー証明書はサーバーの IDを証明しますCitrix Gatewayではこの種類のデジタル証明書が必要です

bull ルート証明書ルート証明書はサーバー証明書に署名した CAを識別しますルート証明書は CAに属しますユーザーデバイスではサーバー証明書を検証するためにこのタイプのデジタル証明書が必要です

ユーザーデバイス上のWebブラウザとの安全な接続を確するとサーバーはその証明書をデバイスに送信します


Citrix Gateway 130

ユーザーデバイスがサーバー証明書を受信するとInternet ExplorerなどのWebブラウザは証明書を発したCAとその CAがユーザーデバイスによって信頼されているかどうかを確認しますCAが信頼されていない場合またはテスト証明書の場合Webブラウザは証明書を受けれるか拒否するかをユーザに求めます（サイトへのアクセスを効果的に許可または拒否します）

Citrix Gatewayでは次の 3種類の証明書がサポートされています

bull 仮想サーバーにバインドされサーバーファームへの接続にも使できるテスト証明書Citrix Gatewayにはテスト証明書がプリインストールされています

bull CAによって署名され秘密キーとペアになっている PEMまたは DER形式の証明書bull 証明書と秘密キーを格納または転送するために使される PKCS 12形式の証明書PKCS 12証明書は通常既存のWindows証明書から PFXファイルとしてエクスポートされCitrix Gatewayにインストールされます

Thawteや VeriSignなど信頼された CAによって署名された証明書を使することをお勧めします



April 9 2020

SSLまたは TLSを使してセキュアな通信を提供するにはCitrix Gatewayでサーバー証明書が必要です証明書を Citrix Gatewayにアップロードする前に証明書署名リクエスト（CSR）と秘密キーを成する必要がありますCitrix Gatewayウィザードまたは構成ユーティリティに含まれている証明書要求の作成を使してCSRを作成します証明書要求の作成は署名のために認証局（CA）に電メールで送信されるcsrファイルとアプライアンスに残る秘密キーを作成しますCAは証明書に署名し指定した電メールアドレスで返却します署名付き証明書を受け取ったらCitrix GatewayにインストールできますCAから証明書を受け取ったら証明書を秘密キーとペアにします

重要Citrix Gatewayウィザードを使して CSRを作成する場合はウィザードを終了し署名付き証明書が CAから送信されるまで待つ必要があります証明書を受け取ったらCitrix Gatewayウィザードを再度実して設定を作成し証明書をインストールできますCitrix Gatewayウィザードの詳細については「Citrix Gatewayウィザードを使した設定の構成」を参照してください

Citrix Gatewayウィザードを使して CSRを作成するには

1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで [Citrix ADC Gateway]をクリックします

2 詳細ペインの [はじめに]で[Citrix ADC Gatewayウィザード]をクリックします


Citrix Gateway 130

3 [サーバー証明書の指定]ページが表されるまでウィザードの指に従います4 [証明書署名要求の作成]をクリックしフィールドにします注完全修飾ドメイン名（FQDN）はCitrix Gatewayのホスト名と同じである必要はありませんFQDNはユーザーログオンに使されます

5 [作成]をクリックして証明書をコンピュータに保存し[閉じる]をクリックします6 設定を保存せずに Citrix Gatewayウィザードを終了します

Citrix ADC GUIを使して CSRを作成するには

CitrixCitrix Gatewayウィザードを実せずにCitrix ADC GUIを使して CSRを作成することもできます

1 [トラフィック管理] gt [ SSL] gt [SSLファイル]に移動し[証明書署名要求 (CSR)の作成]を選択します2 証明書の設定を完了し[作成]をクリックします

証明書と秘密キーを作成したらThawteや VeriSignなどの証明書を CAに電メールで送信します


Citrix Gatewayへの署名付き証明書のインストール

March 26 2020

認証局（CA）から署名付き証明書を受け取ったらアプライアンスの秘密キーとペアリングしCitrix Gatewayに証明書をインストールします

署名付き証明書と秘密キーをペアリングするには

1 WinSCP などのセキュアシェル（SSH）プログラムを使して証明書を Citrix Gateway のフォルダnsconfigsslにコピーします


3 詳細ペインで［Install］をクリックします4 [証明書とキーのペア名]に証明書の名前をします5「証明書ファイル名」で「参照」のドロップダウンボックスを選択し「アプライアンス」をクリックします6 証明書に移動し[選択][開く]の順にクリックします7「秘密鍵ファイル名」で「参照」のドロップダウンボックスを選択し「アプライアンス」をクリックします秘密キーの名前は証明書署名要求 (CSR)と同じ名前です秘密鍵はCitrix Gatewayの nsconfig sslディレクトリにあります

8 秘密キーを選択し[開く]をクリックします


Citrix Gateway 130

9 証明書が PEM形式の場合は[パスワード]に秘密キーのパスワードをします10 証明書の有効期限が切れたときの通知を構成する場合は[有効期限が切れたときに通知]を選択します11 [通知期間]に数をし[作成][閉じる]の順にクリックします

証明書と秘密キーを仮想サーバーにバインドするには

証明書と秘密キーのペアを作成してリンクしたら仮想サーバーにバインドします


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [証明書]タブの [使可能]で証明書を選択し[追加]をクリックし[OK]をクリックします

仮想サーバーからテスト証明書をバインド解除するには

署名付き証明書をインストールした後仮想サーバーにバインドされているテスト証明書のバインドを解除します構成ユーティリティーを使してテスト証明書のバインドを解除できます


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [証明書]タブの [構成済み]でテスト証明書を選択し[削除]をクリックします



March 26 2020

中間証明書はCitrix Gateway（サーバー証明書）とルート証明書（通常はユーザーデバイスにインストールされます）の間にある証明書です中間証明書はチェーンの部です

組織によっては組織単位間の地理的分離の問題を解決するためにまたは組織の異なるセクションに異なる発ポリシーを適するために証明書を発する責任を委任します

証明書を発する責任は下位の証明機関 (CA)を設定することで委任できますCAは独の証明書に署名することも (署名付き)別の CAによって署名することもできますX509標準にはCAの階層を設定するためのモデルが含まれていますこのモデルでは次の図にすようにルート CAは階層の最上位にありCAによる署名証明書ですルート CAに直接従属する CAにはルート CAによって署名された CA証明書があります階層内の下位 CAの下位 CAには下位 CAによって署名された CA証明書があります


Citrix Gateway 130

図 1般的なデジタル証明書チェーンの階層構造をす X509モデル

サーバ証明書が署名証明書を持つ CAによって署名されている場合証明書チェーンはエンドエンティティ証明書とルート CAの 2つの証明書で構成されますユーザーまたはサーバー証明書が中間 CAによって署名されている場合証明書チェーンはくなります

次の図は最初の 2つの要素がエンドエンティティ証明書（この場合は gwy01companycom）と中間 CAの証明書をこの順序でしています中間 CAの証明書の後にはその CAの証明書が続きますこの覧はリストの最後の証明書がルート CAの証明書になるまで続きますチェーン内の各証明書は前の証明書の IDを証明します

図 2般的なデジタル証明書チェーン

中間証明書をインストールするには


2 詳細ペインで［Install］をクリックします3 [証明書とキーのペア名]に証明書の名前をします4 [詳細]の [証明書ファイル名]で[参照] (アプライアンス)をクリックしドロップダウンボックスで [ローカル]または [アプライアンス]を選択します

5 コンピュータ（ローカル）または Citrix Gateway（アプライアンス）上の証明書に移動します6「証明書の形式」で「PEM」を選択します7 [インストール]をクリックし[閉じる]をクリックします

Citrix Gatewayに中間証明書をインストールする場合秘密鍵やパスワードを指定する必要はありません

証明書がアプライアンスにインストールされたら証明書をサーバー証明書にリンクする必要があります

中間証明書をサーバー証明書にリンクするには


2 詳細ウィンドウでサーバー証明書を選択し[操作]で [リンク]をクリックします3 [CA証明書名]の横にある覧から中間証明書を選択し[OK]をクリックします


認証にデバイス証明書を使する

April 9 2020


Citrix Gateway 130

Citrix Gatewayではデバイス IDを証明書の秘密キーにバインドできるデバイス証明書チェックがサポートされていますデバイス証明書チェックは従来の EPAポリシーまたは度な EPAポリシーの部として設定できます従来の EPAポリシーではデバイス証明書は事前認証 EPAに対してだけ設定できます

Citrix Gatewayに 2つ以上のデバイス証明書をインストールする場合ユーザーが Citrix Gatewayへのログオンを開始するときまたはエンドポイント分析スキャンを実する前に正しい証明書を選択する必要があります

デバイス証明書を作成するときはX509証明書である必要があります

重要 Windowsではデフォルトでデバイス証明書にアクセスするための管理者権限が義務されています管理者以外のユーザのデバイス証明書チェックを追加するにはVPNプラグインをインストールする必要がありますVPNプラグインのバージョンはデバイス上の EPAプラグインと同じバージョンである必要があります

デバイス証明書の作成の詳細については以下を参照してください

bull Active Directory証明書サービス (AD CS)のネットワークデバイス登録サービス (NDES)を参照してください

bull Microsoft System Center web サイトの構成マネージャーの PKI 証明書の展開順の例WindowsServer 2008証明機関を参照してください

bull DCERPC および Active Directory 証明書プロファイルペイロードを使してMicrosoft CertificateAuthorityから証明書を要求する法をアップルのサポートウェブサイトでご確認ください

bull iPadiPhoneの証明書発「ディレクトリサービスチームに問い合わせるMicrosoftサポートブログ」を参照してください

bull ネットワークデバイス登録サービスの設定を参照してください

従来の EPAポリシーの仮想サーバーでデバイス証明書を有効にしてバインドするには

デバイス証明書を作成したらCitrix Gateway への既存の証明書のインポートとインストールの順に従ってCitrix Gatewayに証明書をインストールします証明書をインストールした後証明書を仮想サーバーにバインドします

1 構成ユーティリティで［Citrix Gateway］gt［仮想サーバー］に移動します2 詳細ウィンドウで仮想サーバーをクリックし[編集]をクリックします3 仮想サーバーの詳細ウィンドウで鉛筆アイコンをクリックし[詳細]を展開します4 [デバイス証明書を有効にする]を選択します5 表される選択ダイアログで[ Add ]を選択し有効にするデバイス証明書をクリックします選択したデバイス証明書の隣にあるプラス記号のアイコンをクリックし[ OK]をクリックします

注度な EPAポリシーの仮想サーバー上でデバイス証明書を有効化およびバインドする法についてはEPAコンポーネントとしての nFactorでのデバイス証明書を参照してください



Citrix Gateway 130


April 9 2020

既存の証明書はインターネットインフォメーションサービス（IIS）を実しているWindowsベースのコンピュータからまたは Secure Gatewayを実しているコンピュータからインポートできます

証明書をエクスポートするときは秘密キーもエクスポートしてください場合によっては秘密キーをエクスポートできないためCitrix Gatewayに証明書をインストールできないことがありますこのような場合は証明書署名要求 (CSR)を使して新しい証明書を作成します詳しくは「証明書署名要求の作成」を参照してください

証明書と秘密キーをWindowsからエクスポートするとコンピューターによって個情報交換 (pfx)ファイルが作成されますこのファイルはPKCS 12証明書として Citrix Gatewayにインストールされます

Secure Gatewayを Citrix Gateway Gatewayに置き換える場合は証明書と秘密鍵を Secure GatewayからエクスポートできますSecure Gatewayから Citrix Gateway Gatewayへのインプレース移をう場合はアプリケーションとアプライアンスの完全修飾ドメイン名（FQDN）が同じである必要がありますSecure Gatewayから証明書をエクスポートするとすぐに Secure Gatewayを破棄しCitrix Gatewayに証明書をインストールしてから構成をテストしますFQDNが同じであればネットワーク上で Secure Gatewayと Citrix Gatewayを同時に実することはできません

Windows Server 2003またはWindows Server 2008を使している場合はMicrosoft Management Con-soleを使して証明書をエクスポートできます詳細についてはWindowsオンラインヘルプを参照してください

他のすべてのオプションのデフォルト値をそのまま使しパスワードを定義してpfxファイルをコンピューターに保存します証明書をエクスポートしたらCitrix Gatewayにインストールします

証明書と秘密キーを Citrix Gatewayにインストールするには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします

3 [次へ]をクリックし既存の仮想サーバーを選択して[次へ]をクリックします

4 [証明書オプション]で[PKCS 12 (pfx)ファイルをインストールする]を選択します

5 [PKCS 12ファイル名]で[参照]をクリックし証明書に移動し[選択]をクリックします

6 [パスワード]に秘密キーのパスワードをします

これは証明書を PEM形式に変換するときに使したパスワードです

7［次へ］をクリックして他の設定を変更せずに Citrix Gatewayウィザードを終了します


Citrix Gateway 130

証明書が Citrix Gatewayにインストールされると証明書は構成ユーティリティの［SSL］gt［証明書］ノードに表されます

秘密キーを作成するには

1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]をクリックします

2 詳細ペインの [SSLキー]で[RSAキーの作成]をクリックします

3 [Key Filename]にプライベートキーの名前をするか[Browse]をクリックして既存のファイルに移動します

4 [キーサイズ (ビット)]に秘密キーのサイズをします

5 [公衆指数]で[F4]または [3]を選択します

RSAキーの公開指数値これは暗号アルゴリズムの部でありRSAキーの作成に必要です値は F4 (16進数0x10001)または 3 (16進数0x3)ですデフォルトは F4です

6 [キー形式]で[PEM]または [DER]を選択します証明書には PEM形式をお勧めします

7 [PEMエンコーディングアルゴリズム]で[DES]または [DES3]を選択します

8 [PEMパスフレーズ]および [パスフレーズの検証]にパスワードをし[作成][閉じる]の順にクリックします

注パスフレーズを割り当てるには[Key Format]が PEMである必要がありエンコードアルゴリズムを選択する必要があります

構成ユーティリティで DSA秘密キーを作成するには[DSAキーの作成]をクリックします上記の同じ順に従って DSA秘密キーを作成します


証明書を PFX形式から PEM形式に変換する

March 26 2020

SSL証明書はSSL負荷分散仮想サーバーおよび Citrix Gateway仮想サーバーに使されますPEM証明書はBase64でエンコードされた ASCIIファイルですPEM証明書はテキストエディタメモ帳で開くことができそれらには「mdashndashBEGIN CERTIFICATEmdashndash」および「mdashndashEND CERTIFICATEmdashndash」ステートメントが含まれていることがわかります

セキュアで信頼できるアクセスのためにはCitrix Gatewayサーバーに SSLサーバー証明書をインストールする必要がありますアップロードされた証明書ファイルには次の特性が必要です


Citrix Gateway 130

bull サーバー証明書はエンドユーザーが信頼する証明機関 (CA)によって発されている必要があります最良の結果を得るにはベリサインThawteジオトラストなどの商 CAを使してください

bull 証明書はプライバシー拡張メール (PEM)形式である必要がありますこれはバイナリ識別符号化規則(DER)形式の Base64エンコーディングであるテキストベースの形式です

bull 証明書ファイルに秘密キーを含める必要があり秘密キーを暗号化しないでくださいPEMファイルを使するためにパスワードは必要ありません

bull 必要な中間証明書も PEMファイルの末尾に追加する必要があります

PFX証明書を PEM形式に変換して Citrix Gatewayで使するには次のいずれかの順を実します

Citrix GatewayウィザードCitrix Gatewayウィザードを使して PFX証明書を PEM形式に変換するには以下の順を実します

1「トラフィック管理」に移動し「SSL」ノードを選択します

2 [PKCS 12のインポート]リンクをクリックします

3 PEM証明書のファイル名を [出ファイル名]フィールドに指定します

4 [参照] をクリックしPEM 形式に変換する PFX 証明書を選択します部のユーザーは証明書をncsonfigSSL ディレクトリにアップロードしそこから使することを好みますPFX 証明書がCitrix Gatewayに保存されている場合は［アプライアンス］オプションを選択しワークステーションに保存されている場合は［ローカル］を使します

5「インポートパスワード」を指定します


7 ファイルがエンコードされている場合はエンコード形式として DESまたは 3DESを選択します

8 [PEMパスフレーズ]と [PEMパスフレーズの確認]を指定します

9 [証明書キー CSRの管理]リンクをクリックして変換された PEM証明書ファイルを表します

10 変換された PEMファイルと共にアップロードされた PFXファイルを表できます

11 [SSL]ノードを展開します

12「証明書」ノードを選択します


14 証明書のインストールウィザードで証明書とキーのペア名を指定します

15 証明書ファイル名と秘密キーファイル名の両の PEMファイルを参照します

16 パスワードを指定します



Citrix Gateway 130

オープン SSLユーティリティ

インターネットインフォメーションサービス (IIS)証明書ウィザードを使してWindowsサーバーに証明書を要求してインストールした場合はその証明書を秘密キーとともに個情報交換 (PFX)ファイルにエクスポートできますこの証明書を Citrix GatewayにインポートするにはPFXファイルを暗号化されていない PEM形式に変換する必要があります

オープンソースユーティリティ OpenSSLを使してPFXから PEMへの変換を実できますオープン SSLのWin32ディストリビューションをダウンロードします

OpenSSLを使する場合はC++の再配布可能ファイルが必要になることもありますMicrosoft Visual C++2008再頒布可能パッケージ (x86)からダウンロードします

PFXファイルを PEMファイルに変換するにはWindowsマシンで次の順を実します

1 ダウンロードしてWin32 OpenSSLからパッケージをインストールします

2 ccertsフォルダを作成しccertsフォルダに yourcertpfxファイルをコピーします

3 コマンドプロンプトを開きOpenSSLbin directory homedriveOpenSSLbinに変更します

4 次のコマンドを実してPFXファイルを暗号化されていない PEMファイルに変換します (すべて 1で)openssl pkcs12-in ccertsyourcertpfx-out ccertscagpem mdashnodes

5 インポートパスワードのを求められたら証明書を PFXファイルにエクスポートするときに使したパスワードをしますMACが確認済みであることをすメッセージが表されます

6 Citrix Gateway 管理ポータルまたは HTTPS ポート 9001 をブラウザに指定しますhttpsnetscaler-gateway-server9001

7 rootとしてログオンしますデフォルトのパスワードは rootadminです

8 ページ上部の [メンテナンス]リンクをクリックします

9 [秘密鍵 + 証明書 (pem) のアップロード] フィールドの横にある [参照] ボタンをクリックしますccertscagpemファイルを参照し[アップロード]をクリックします

10 新しい SSL証明書を適するにはCitrix Gatewayを再起動します



March 26 2020


Citrix Gateway 130

認証局 (CA)は時折証明書失効リスト (CRL)を発しますCRLには信頼できなくなった証明書に関する情報が含まれていますたとえばアンが XYZ社を離れるとします同社はアンの証明書を CRLに配置してそのキーでメッセージに署名できないようにすることができます

同様に秘密キーが侵害された場合または証明書の有効期限が切れて新しい証明書が使されている場合に証明書を取り消すことができます公開キーを信頼する前に証明書が CRLに表されていないことを確認してください

Citrix Gatewayでは次の 2つの CRLタイプがサポートされています

bull 失効したまたは有効でなくなった証明書を覧表する CRLbull オンライン証明書ステータスプロトコル（OSCP）X509証明書の失効ステータスを取得するために使されるインターネットプロトコル

CRLを追加するには

Citrix Gatewayアプライアンスで CRLを構成する前にCRLファイルがアプライアンス上にローカルに保存されていることを確認してください可性セットアップの場合CRLファイルは両の Citrix Gatewayアプライアンスに存在しファイルへのディレクトリパスは両のアプライアンスで同じである必要があります

CRLを更新する必要がある場合は次のパラメータを使できます

bull CRL名Citrix ADCに追加される CRLの名前最 31字ですbull CRLファイルCitrix ADCに追加される CRLファイルの名前ですデフォルトではvarnetscalersslディレクトリ内の CRLファイルが検索されます最 63字です

bull URL最 127字bull ベース DN最 127字bull バインド DN最 127字bull パスワード最 31字bull 最 31

1 構成ユーティリティの [構成]タブで[SSL]を展開し[CRL]をクリックします2 詳細ウィンドウで[追加]をクリックします3 [Add CRL]ダイアログボックスで次の値を指定します

bull CRL名bull CRLファイルbull フォーマット (オプション)bull CA証明書（オプション）

4［Create］をクリックしてから［Close］をクリックしますCRL詳細ペインで構成した CRLを選択し画の下部に表される設定が正しいことを確認します


Citrix Gateway 130

構成ユーティリティで LDAPまたはHTTPを使して CRL動リフレッシュを構成するには

CRLはCAによって定期的にまたは場合によっては特定の証明書が失効した直後に成および発されますCitrix Gatewayアプライアンスで CRLを定期的に更新して無効な証明書で接続しようとするクライアントから保護することをお勧めします

Citrix GatewayアプライアンスはWebロケーションまたは LDAPディレクトリから CRLを更新できます更新パラメータとWebの場所または LDAPサーバーを指定する場合コマンドの実時にローカルハードディスクドライブに CRLが存在する必要はありません最初の更新ではCRL Fileパラメーターで指定されたパスにローカルハードディスクドライブにコピーが格納されますCRLを保存するためのデフォルトのパスは varnetscalerslです

CRLリフレッシュパラメータ

bull CRL名

Citrix Gatewayで更新される CRLの名前

1 CRL 動更新の有効化

CRL動更新を有効または無効にします

1 CA証明書

CRLを発した CAの証明書この CA証明書はアプライアンスにインストールする必要がありますCitrix ADCは証明書がインストールされている CAからのみ CRLを更新できます

1 法

Webサーバ（HTTP）または LDAPサーバから CRLリフレッシュを取得するプロトコル指定可能な値HTTPLDAPデフォルトはHTTPです

1 スコープ

LDAPサーバーでの検索操作の範囲指定したスコープがBaseの場合検索はベース DNと同じレベルになります指定されたスコープが「One」の場合検索はベース DNの 1レベル下まで拡張されます

bull サーバー IP


Citrix Gateway 130

CRLの取得元となる LDAPサーバの IPアドレスIPv6 IPアドレスを使するには[IPv6]を選択します

1 ポート

LDAPまたはHTTPサーバーが通信するポート番号

1 URL

CRLの取得元となるWebロケーションの URL

1 ベース DN

LDAPサーバが CRL属性を検索するために使するベース DN注LDAPサーバーで CRLを検索するにはCA証明書の発元名ではなくベース DN属性を使することをお勧めしますIssuer-Nameフィールドが LDAPディレクトリ構造の DNと正確に致しない場合があります

bull バインド DN

LDAPリポジトリ内の CRLオブジェクトにアクセスするために使されるバインド DN属性バインドDNアトリビュートはLDAPサーバの管理者クレデンシャルですLDAPサーバへの不正アクセスを制限するにはこのパラメータを設定します

1 パスワード

LDAPリポジトリ内の CRLオブジェクトへのアクセスに使する管理者パスワードこれはLDAPリポジトリへのアクセスが制限されている場合つまり匿名アクセスが許可されていない場合に必要です

1 間隔

CRLリフレッシュを実する間隔CRLを瞬時に更新する場合は間隔をNOWとして指定します可能な値MONTHLYDAILYWEEKLYNOWNONE

1


Citrix Gateway 130

CRL更新を実する間隔が DAILYに設定されている場合このオプションは使できません

1 時間

CRL更新を実する時刻を 24時間形式で指定します

1 バイナリ

LDAPベースの CRL取得モードをバイナリに設定します指定可能な値はいいいえデフォルトNO

1 ナビゲーションウィンドウで[SSL]を展開し[CRL]をクリックします2 更新パラメータを更新する設定済みの CRLを選択し[Open]をクリックします3 [CRL動更新を有効にする]オプションを選択します4「CRL動リフレッシュパラメータ」グループで次のパラメータの値を指定します注意アスタリスク（）は必須パラメータをします

bull 法bull バイナリbull Scopebull Server IPbull Portbull URLbull Base DNbull Bind DNbull Passwordbull Intervalbull Day(s)bull Time

5［作成］をクリックします[CRL]ペインで構成した CRLを選択し画の下部に表される設定が正しいことを確認します


OCSPによる証明書ステータスのモニタリング

March 26 2020

オンライン証明書状態プロトコル (OCSP)はクライアントの SSL証明書の状態を決定するために使されるインターネットプロトコルですCitrix GatewayはRFC 2560で定義されている OCSPをサポートしていますOCSP


Citrix Gateway 130

にはタイムリーな情報という点で証明書失効リスト (CRL)よりもきな利点がありますクライアント証明書の最新の失効ステータスは多額の銭や価値のい株式取引を含む取引で特に役ちますまた使するシステムリソースとネットワークリソースも少なくなりますCitrix Gatewayの OCSP実装にはリクエストのバッチ処理とレスポンスのキャッシュが含まれます

Citrix GatewayのOCSP実装

Citrix GatewayアプライアンスでのOCSP検証はSSLハンドシェイク中に Citrix Gatewayがクライアント証明書を受信したときに開始されます証明書を検証するためにCitrix Gatewayは OCSPリクエストを作成しそのリクエストを OCSPレスポンダーに転送しますそのためにはCitrix Gatewayがクライアント証明書から OCSPレスポンダーの URLを抽出するかローカルに構成された URLを使しますCitrix Gatewayがサーバーからの応答を評価しトランザクションを許可するか拒否するかを決定するまでトランザクションは中断状態になりますサーバーからの応答が構成された時間を超えて遅延し他の応答者が構成されていない場合Citrix GatewayではOCSPチェックをオプションまたは必須のどちらに設定したかに応じてトランザクションが許可されるかエラーが表されますCitrix GatewayはOCSPリクエストのバッチ処理と OCSPレスポンダーのキャッシュをサポートしOCSPレスポンダーの負荷を軽減し応答を速化します

OCSP要求のバッチ処理

Citrix Gatewayはクライアント証明書を受信するたびにOCSPレスポンダーに要求を送信しますOCSPレスポンダーの過負荷を回避するためにCitrix Gatewayでは同じリクエストで複数のクライアント証明書の状態を問い合わせることができます要求のバッチ処理が効率的に機能するためにはバッチの形成を待っている間に単の証明書の処理が遅れることがないようにタイムアウトを定義する必要があります

OCSP応答キャッシュ

OCSPレスポンダから受信した応答をキャッシュするとユーザへの応答が速になりOCSPレスポンダの負荷が軽減されますクライアント証明書の失効ステータスを OCSPレスポンダーから受信するとCitrix Gatewayは事前に定義された時間だけ応答をローカルにキャッシュしますSSLハンドシェイク中にクライアント証明書を受信するとCitrix Gatewayはまずローカルキャッシュにこの証明書のエントリを確認します（キャッシュのタイムアウト制限内で）有効なエントリがつかった場合エントリが評価されクライアント証明書が受けれられるか拒否されます証明書がつからない場合Citrix Gatewayは OCSPレスポンダーにリクエストを送信しそのレスポンスをローカルキャッシュに保存します



Citrix Gateway 130

OCSP証明書ステータスの設定

March 26 2020

オンライン証明書状態プロトコル (OCSP)の構成にはOCSP応答側の追加OCSP応答側の認証局 (CA)からの署名付き証明書へのバインドおよび証明書と秘密キーのセキュアソケットレイヤー (SSL)仮想サーバーへのバインドが含まれますすでに設定したOCSPレスポンダーに別の証明書と秘密キーをバインドする必要がある場合はまずレスポンダーのバインドを解除してからレスポンダーを別の証明書にバインドする必要があります

OCSPを設定するには

1 [構成]タブのナビゲーションウィンドウで [SSL]を展開し[OCSPレスポンダー]をクリックします



4 [URL]にOCSPレスポンダのWebアドレスをします

このフィールドは必須ですWebアドレスは 32字以下にする必要があります

5 OCSPレスポンスをキャッシュするには［キャッシュ］をクリックし［タイムアウト］に Citrix Gatewayがレスポンスを保持する分数をします

6 [要求のバッチ処理]で[有効化]をクリックします

7「バッチ処理の遅延」でOCSP要求のグループのバッチ処理に許可される時間をミリ秒単位で指定します

値の範囲は 0〜 10000ですデフォルトは 1です

8［時間スキュー時に成］にアプライアンスが応答を確認または受けれる必要がある場合にCitrix Gatewayが使できる時間をします

9 OCSPレスポンダによる署名チェックを無効にするには[応答の検証]で [応答の信頼性]を選択します

応答を信頼できるようにする場合は順 8と順 9をスキップします

10 [証明書]でOCSP応答の署名に使する証明書を選択します

証明書が選択されていない場合OCSPレスポンダがバインドされている CAを使して応答を検証します

11 [要求タイムアウト]にOCSP応答を待機するミリ秒数をします

この時間にはバッチ処理遅延時間が含まれます値の範囲は 0〜 120000ですデフォルトは 2000です

12 [署名証明書]でOCSP要求の署名に使する証明書と秘密キーを選択します証明書と秘密キーを指定しない場合要求は署名されません

13 1回だけ使される番号（nonce）拡張を有効にするには[Nonce]を選択します


Citrix Gateway 130

14 クライアント証明書を使するには[クライアント証明書の挿]をクリックします



Citrix Gateway構成のテスト

March 26 2020

Citrix Gatewayで初期設定を構成したらアプライアンスに接続して設定をテストできます

Citrix Gateway の設定をテストするにはローカルユーザーアカウントを作成します次に仮想サーバーのIP アドレスまたはアプライアンスの完全修飾ドメイン名（FQDN）のいずれかを使してWeb ブラウザを開きWebアドレスをしますたとえばアドレスバーにhttpsmycompanycomまたはhttps19216896183とします

ログオン画で前に作成したユーザーアカウントのユーザー名とパスワードをしますログオンするとCitrixGatewayプラグインをダウンロードしてインストールするように求められます

Citrix Gatewayプラグインをインストールして接続するとアクセスインターフェイスが表されますアクセスインターフェイスはCitrix Gatewayのデフォルトのホームページです

構成ユーティリティを使した新しいユーザーアカウントの作成

1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway] gt [ユーザー管理]の順に展開し[AAAユーザー]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4 ローカル認証を使する場合は[外部認証]チェックボックスをオフにしますLDAPや RADIUSなどの外部認証タイプを使したユーザの認証がデフォルトですこのチェックボックスをオフにするとCitrixGatewayはユーザーを認証します


構成ユーティリティを使してユーザーを追加する場合次のポリシーをユーザーにバインドできます

bull 承認bull トラフィックセッション監査bull ブックマークbull イントラネットアプリケーションbull イントラネット IPアドレス


Citrix Gateway 130

テストユーザーアカウントでのログオンで問題が発した場合は次の点を確認してください

bull 証明書の警告が表された場合はテスト証明書または無効な証明書が Citrix Gatewayにインストールされます認証局（CA）によって署名された証明書がアプライアンスにインストールされている場合はユーザーデバイスに対応するルート証明書があることを確認してください

bull CA署名付き証明書を使した場合は署名付き証明書署名要求 (CSR)を使してサイト証明書を正しく成したこととCSRにされた識別名 (DN)データが正確であることを確認します問題はホスト名が署名付き証明書の IPアドレスと致しないこともあります構成済み証明書の共通名が構成済みの仮想サーバーの IPアドレス情報に対応していることを確認します

bull ログオン画が表されない場合や他のエラーメッセージが表された場合はセットアッププロセスを確認しすべての順を正しく実しすべてのパラメータを正確にしたことを確認します



March 26 2020

仮想サーバーはユーザーがログオンするアクセスポイントです各仮想サーバには独の IPアドレス証明書およびポリシーセットがあります仮想サーバは着信トラフィックを受けれる IPアドレスポートおよびプロトコルの組み合わせで構成されます仮想サーバーにはユーザーがアプライアンスにログオンするときの接続設定が含まれます仮想サーバーでは次の設定を構成できます

bull 証明書bull 認証bull ポリシーbull ブックマークbull アドレスプール (IPプールまたはイントラネット IPとも呼ばれます)bull Citrix Gatewayを使したダブルホップ DMZ展開bull Secure Ticket Authoritybull SmartAccess ICAプロキシセッション転送

Citrix Gatewayウィザードを実するとウィザード中に仮想サーバーを作成できます追加の仮想サーバは次の法で構成できます

bull 仮想サーバノードからこのノードは構成ユーティリティのナビゲーション区画にあります構成ユーティリティを使して仮想サーバーを追加編集および削除できます

bull クイック構成ウィザードを使しますCitrix Endpoint ManagementStoreFrontまたはWeb Interfaceを環境内に展開する場合はクイック構成ウィザードを使して仮想サーバーと展開に必要なすべてのポリシーを作成できます


Citrix Gateway 130

ユーザーがログオンして RADIUSなどの特定の認証タイプを使できるようにするには仮想サーバーを構成しサーバーに意の IPアドレスを割り当てますユーザーがログオンすると仮想サーバーに送信されRADIUS資格情報のが求められます

またユーザーが Citrix Gatewayにログオンする法を構成することもできますセッションポリシーを使してユーザーソフトウェアの種類アクセス法およびログオン後にユーザーに表されるホームページを構成できます



April 9 2020

構成ユーティリティまたはクイック構成ウィザードのナビゲーションウィンドウにある仮想サーバーノードを使して仮想サーバーの追加変更有効化無効化および削除をうことができますクイック構成ウィザードを使した仮想サーバの構成の詳細についてはConfiguring Settings with the Quick Configuration Wizardを参照してください

構成ユーティリティを使して仮想サーバーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 必要な設定を構成し[作成][閉じる]の順にクリックします



March 26 2020

仮想サーバーを作成および構成するときに次の接続オプションを構成できます

bull Citrix Workspaceアプリとの接続はSmartAccessエンドポイント分析またはネットワーク層トンネリング機能を使しないCitrix Virtual Apps and Desktopsにのみえます

bull Citrix Gatewayプラグインと SmartAccessとの接続これによりSmartAccessエンドポイント分析ネットワーク層トンネリング機能を使できます


Citrix Gateway 130

bull モバイルデバイスから Citrix Gatewayへのマイクロ VPN接続を確する Secure Hubとの接続bull 複数のデバイスからユーザーが ICAセッションプロトコルを介してわれる並列接続複数のユニバーサルライセンスを使できないように接続は単のセッションに移されます

ユーザソフトウェアを使せずにユーザがログオンできるようにするにはクライアントレスアクセスポリシーを設定してそれを仮想サーバにバインドします

仮想サーバー上で基本接続または SmartAccess接続を構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4 [IPアドレス]と [ポート]に仮想サーバーの IPアドレスとポート番号をします5 次のいずれかをいます

bull ICA接続のみを許可するには[基本モード]をクリックしますbull Secure HubCitrix Gatewayプラグインおよび SmartAccessを使したユーザーのログオンを許可するには［SmartAccessモード］をクリックします

bull SmartAccessが複数のユーザー接続の ICAプロキシセッションを管理できるようにするには［ICAプロキシセッションの移］をクリックします

6 仮想サーバーのその他の設定を構成し[作成][閉じる]の順にクリックします



March 26 2020

Citrix Gateway仮想サーバーを構成して仮想サーバーが特定の仮想ローカルエリアネットワーク（VLAN）をリッスンする機能を制限できます指定された VLAN上のトラフィックを処理するように制限するリッスンポリシーを使してワイルドカード仮想サーバを作成できます

構成パラメータは次のとおりです


Citrix Gateway 130

パラメーター説明

名前仮想サーバーの名前この名前は必須であり仮想サーバーを作成した後は変更できません名前は 127字以内で最初の字は数字または字でなければなりませんまたアット記号 ()アンダースコア(_)ダッシュ (-)ピリオド ()コロン ()シャープ記号 ()スペースも使できます

IP 仮想サーバの IPアドレスVLANにバインドされたワイルドカード仮想サーバの場合値は常にです

種類サービスの動作選択肢はHTTPSSLFTPTCPSSL_TCPUDPSSL_ブリッジNNTPDNS任意のSIP-UDPDNS-TCPおよび RTSPです

ポート仮想サーバーがユーザー接続をリッスンするポートポート番号は 0〜 65535である必要がありますVLANにバインドされたワイルドカード仮想サーバの場合値は通常です

リッスン優先度リッスンポリシーに割り当てられているプライオリティプライオリティは逆の順序で評価されます番号がさいほどリッスンポリシーに割り当てられるプライオリティがくなります

リッスンポリシールール仮想サーバがリッスンする VLANの識別に使するポリシールールルールはCLIENTVLANIDEQ(ltipaddressatgt)ですltipaddressatgtではVLANに割り当てられた ID番号を置き換えます

リッスンポリシーを使してワイルドカード仮想サーバーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4「プロトコル」でプロトコルを選択します5 [IPアドレス]に仮想サーバーの IPアドレスをします6 [ポート]に仮想サーバーのポートをします7 [詳細設定]タブの [リッスンポリシー]の [リッスンの優先度]にリッスンポリシーの優先度をします8 [リッスンポリシールール]の横にある [設定]をクリックします9 [式を作成]ダイアログボックスで[追加]をクリックして式を設定し[OK]をクリックします


Citrix Gateway 130



Citrix Gatewayでの IPアドレスの構成

March 26 2020

構成ユーティリティおよびユーザー接続にログオンするように IPアドレスを構成できますCitrix Gatewayは管理アクセスにデフォルトの IPアドレス 1921681001とサブネットマスク 25500で構成されますデフォルトの IPアドレスはシステム IP（NSIP）アドレスにユーザーが構成した値が存在しないときに使されます

bull NSIPアドレスアプライアンスへのすべての管理関連アクセスに使される Citrix Gatewayの管理 IPアドレスCitrix GatewayではNSIPアドレスも認証に使されます

bull デフォルト Gatewayセキュリティで保護されたネットワークの外部から Citrix Gatewayにトラフィックを転送するルーター

bull サブネット IP（SNIP）アドレスセカンダリネットワーク上のサーバと通信することによりユーザーデバイスを表す IPアドレスこれはマッピング IP（MIP）アドレスに似ています

SNIPアドレスは 1024〜 64000のポートを使します

Citrix Gatewayで IPアドレスを使する法

Citrix Gatewayは発している機能に基づいてIPアドレスからのトラフィックをソースします以下のリストでは般的なガイドラインとしてCitrix Gatewayがそれぞれの IPアドレスを使する法について説明します

bull 認証Citrix GatewayはSNIPアドレスを使しますbull ホームページからのファイル転送Citrix GatewayはSNIPアドレスを使しますbull DNSクエリとWINSクエリCitrix GatewayはMIPアドレスまたは SNIPアドレスのいずれかを使します

bull セキュアなネットワーク内のリソースへのネットワークトラフィックCitrix Gateway ではCitrixGatewayの構成に応じてMIPアドレスSNIPアドレスまたは IPプールが使されます

bull ICAプロキシ設定Citrix GatewayはMIPアドレスまたは SNIPアドレスを使します



Citrix Gateway 130

マッピングされた IPアドレスの変更または削除

March 26 2020

Citrix Gatewayでは1つのマッピングされた IPアドレスがサポートされますアプライアンスで 1つのマッピング IPアドレスを設定した場合アドレスを変更または削除することはできませんマッピング IPアドレスを変更する必要がある場合は最初に新しいマッピング IPアドレスを作成してから元のマッピング IPアドレスを削除します

設定ユーティリティの [セットアップウィザード]または [ネットワーク]ノードを使してマップされた IPアドレスを追加構成できます

新しいマッピング IPアドレスを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [IPの作成]ダイアログボックスの [IPアドレス]に IPアドレスをします4 [ネットマスク]にサブネットマスクをします5 [IPタイプ]で [マップ済み IP]を選択し[作成]をクリックします

マッピング IPアドレスを削除するには


2 詳細ウィンドウでマッピングアドレスをクリックし[削除]をクリックします


サブネット IPアドレスの設定

March 26 2020

サブネット IPアドレスによりユーザーは別のサブネット上にある外部ホストから Citrix Gatewayに接続できますサブネット IPアドレスを追加すると対応するルートエントリがルートテーブル内に作成されますサブネットごとに作成されるエントリは 1つだけですルートエントリはサブネットで最初に追加された IPアドレスに対応します


Citrix Gateway 130

システム IPアドレスとマッピングされた IPアドレスとは異なりCitrix Gatewayの初期構成時にサブネット IPアドレスを指定する必要はありません

マッピングされた IPアドレスとサブネット IPアドレスは1024〜 64000のポートを使します

サブネット IPアドレスを追加するには


2 詳細ウィンドウで[追加]をクリックします3 [IPの作成]ダイアログボックスの [IPアドレス]に IPアドレスをします4 [ネットマスク]にサブネットマスクをします5 [IPタイプ]で[サブネット IP]を選択し[閉じる][作成]の順にクリックします


ユーザ接続の IPv6の設定

March 26 2020

インターネットプロトコルバージョン 6（IPv6）を使してユーザー接続をリッスンするように Citrix Gatewayを構成できます次のいずれかの設定を構成する場合は[IPv6]チェックボックスをオンにしてダイアログボックスに IPv6アドレスをします

bull グローバル設定-公開アプリケーション-ICAプロキシbull グローバル認証-Radiusbull グローバル認証-LDAPbull グローバル認証-TACACSbull セッションプロファイル-公開アプリケーション-ICAプロキシbull Citrix Gateway仮想サーバーbull 認証サーバの作成-Radiusbull 認証サーバーの作成-LDAPbull 認証サーバの作成-TACACSbull 監査サーバーの作成bull 可性のセットアップbull 可性を実現するためのルートモニタのバインドバインド解除bull 仮想サーバ（負荷分散）


Citrix Gateway 130

IPv6アドレスでリッスンするように Citrix Gateway仮想サーバーを構成するとユーザーは Citrix Workspaceアプリでのみ接続できますCitrix Gatewayプラグインを使したユーザー接続はIPv6ではサポートされていません

Citrix Gatewayで IPv6を構成するには次のガイドラインを使できます

bull Citrix Virtual Apps Web Interface ユーザー接続に IPv6を構成しIPv6を使するマップされた IPアドレスがある場合Citrix Virtual AppsおよびWeb Interfaceサーバーでも IPv6を使できますWebInterfaceはCitrix Gatewayの背後にインストールする必要がありますユーザーが Citrix Gateway経由で接続するとIPv6アドレスは IPv4に変換されます接続が戻るとIPv4アドレスは IPv6に変換されます

bull 仮想サーバCitrix Gatewayウィザードを実するときに仮想サーバーの IPv6を構成できますCitrixGatewayウィザードの［仮想サーバー］ページで［IPv6］をクリックしIPアドレスをしますCitrixGatewayウィザードでは仮想サーバーの IPv6アドレスの構成のみを使できます

bull その他ICAプロキシ認証監査可性に IPv6を構成するにはダイアログボックスの「IPv6」チェックボックスを選択しIPアドレスをします


セキュリティで保護されたネットワークにある DNSサーバーの解決

April 9 2020

DNSサーバーがファイアウォールの背後にあるセキュリティで保護されたネットワークにありファイアウォールが ICMPトラフィックをブロックしている場合ファイアウォールが要求をブロックしているためサーバーへの接続をテストできませんこの問題を解決するには次の順を実します

bull 既知の完全修飾ドメイン名 (FQDN)に解決するカスタム DNSモニターを使して DNSサービスを作成するbull Citrix Gatewayで直接アドレス指定できない DNS仮想サーバーを作成するbull サービスを仮想サーバーにバインドする

注

bull DNS仮想サーバーと DNSサービスを構成するのはDNSサーバーがファイアウォールの内側にある場合だけです

bull Citrix ADC負荷分散ライセンスをアプライアンスにインストールすると［仮想サーバーとサービス］ノードはナビゲーションペインに表されませんこの順を実するには[負荷分散]を展開し[仮想サーバー]をクリックします


Citrix Gateway 130

DNSサービスと DNSモニターを構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]ボックスにサービスの名前をします4 [プロトコル]で[DNS]を選択します5 [IPアドレス]にDNSサーバーの IPアドレスをします6［Port］ボックスにポート番号をします7 [サービス]タブで[追加]をクリックします8 [モニター]タブの [使可能]で[dns][追加][作成][閉じる]の順にクリックします9 [仮想サーバーの作成 (負荷分散)]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします

次にDNS仮想サーバーを構成するにはの順を使して DNS仮想サーバーを作成しDNSサービスを仮想サーバーにバインドします

DNSサービスを DNS仮想サーバーにバインドするには

1 [仮想サービス (負荷分散)の構成]ダイアログボックスの [サービス]タブで[追加]をクリックしDNSサービスを選択し[作成]をクリックして [閉じる]をクリックします


DNS仮想サーバの構成

March 26 2020

DNS仮想サーバーを構成するには名前と IPアドレスを指定しますCitrix Gateway仮想サーバーと同様にDNS仮想サーバーに IPアドレスを割り当てる必要がありますただしユーザデバイスがすべての内部アドレスを解決できるようにこの IPアドレスはターゲットネットワークの内部側にある必要がありますDNSポートも指定する必要があります

注アプライアンスに Citrix ADC負荷分散ライセンスをインストールすると［仮想サーバーとサービス］ノードはナビゲーションペインに表されませんこの機能は負荷分散仮想サーバーを使して構成できます詳しくはCitrix eDocsの「Citrix ADC」のトピックを参照してください


Citrix Gateway 130

DNS仮想サーバーを構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4 [IPアドレス]にDNSサーバーの IPアドレスをします5 [ポート]にDNSサーバーがリッスンするポートをします6 [プロトコル]で [DNS]を選択し[作成]をクリックします

最後に展開環境のニーズに応じて次の 2つの法のいずれかを使してDNS仮想サーバーを Citrix Gatewayに関連付けます

bull サーバーを Citrix Gatewayにグローバルにバインドしますbull DNS仮想サーバーを仮想サーバーごとにバインドします

DNS仮想サーバをグローバルに展開するとすべてのユーザがそれにアクセスできます次にDNS仮想サーバーを仮想サーバーにバインドすることでユーザーを制限できます



March 26 2020

Citrix Gatewayではネームサービスプロバイダーを使してWebアドレスを IPアドレスに変換します

Citrix Gatewayウィザードを実するとDNSサーバーまたはWINSサーバーを構成できます構成ユーティリティを使して追加の DNSサーバーまたはWINSサーバーを構成することもできます

DNSサーバーを Citrix Gatewayに追加するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワーク構成]タブで[追加]をクリックします4 [ネームサーバーの挿]ダイアログボックスの [IPアドレス]に DNSサーバーの IPアドレスをし[作成]をクリックし[閉じる]をクリックします

5 構成ユーティリティで [OK]をクリックします


Citrix Gateway 130

WINSサーバーを Citrix Gatewayに追加するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワークの構成]タブの [WINSサーバーの IP]にWINSサーバーの IPアドレスをし[OK]をクリックします

次にDNS仮想サーバー名と IPアドレスを指定しますCitrix Gateway仮想サーバーと同様にIPアドレスを仮想サーバーに割り当てる必要がありますただしユーザデバイスがすべての内部アドレスを適切に解決できるようにこの IPアドレスはターゲットネットワークの内部側にある必要がありますDNSポートも指定する必要があります

DNSサーバーとWINSサーバーを名前解決に構成する場合はCitrix Gatewayウィザードを使して最初に名前検索を実するサーバーを選択できます

名前ルックアップの優先順位を指定するには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3 [ネームサービスプロバイダ]ページが表されるまで[次へ]をクリックして現在の設定を受けれます4 [名前ルックアップの優先度]で[WINS]または [DNS]を選択しウィザードの最後に進みます



March 26 2020

IPアドレスが有効な状態で Citrix Gatewayにログオンする各ユーザーについてDNSサフィックスがユーザー名に追加されDNSアドレスレコードがアプライアンスの DNSキャッシュに追加されますこの法はユーザーのIPアドレスではなくDNS名をユーザーに提供するのに役ちます

ユーザーのセッションに IPアドレスを割り当てると内部ネットワークからユーザーのデバイスに接続することができますたとえばリモートデスクトップまたは仮想ネットワークコンピューティング（VNC）クライアントで接続しているユーザーはユーザーデバイスにアクセスして問題のアプリケーションを診断できますまた内部ネットワーク IPアドレスを持つ 2の Citrix GatewayユーザーがリモートでログオンしCitrix Gatewayを介して相互に通信することもできますアプライアンス上でログオンしているユーザーの内部ネットワーク IPアドレスを検出できるようにすることでこの通信に役ちます


Citrix Gateway 130

リモートユーザーは以下の pingコマンドを使してその時点で Citrix Gatewayにログオンできるユーザーの内部ネットワーク IPアドレスを検出できます

ピングアンドドロップサーバーは次の法でユーザーデバイスへの接続を開始できます- TCPまたはUDP接続接続は内部ネットワークの外部システムからまたは Citrix Gatewayにログオンしている別のコンピューターから発信できますこれらの接続にはCitrix Gatewayにログオンした各ユーザーデバイスに割り当てられた内部ネットワーク IPアドレスが使されますCitrix Gatewayがサポートするサーバー起動接続の種類を以下に説明しますTCPまたは UDPサーバーが開始する接続の場合サーバーはユーザーデバイスの IPアドレスとポートに関する事前知識を持ち接続をいますCitrix Gatewayはこの接続を傍受します次にユーザーデバイスがサーバーへの初期接続を確しサーバーは最初に構成されたポートから既知または派したポート上のユーザーデバイスに接続しますこのシナリオではユーザーデバイスはサーバーへの初期接続をいポートと IPアドレスはこの情報が埋め込まれているアプリケーション固有のプロトコルを使してサーバーと交換しますこれによりCitrix Gatewayはアクティブな FTP接続などのアプリケーションをサポートできるようになります-ポートコマンドこれはアクティブな FTPおよび特定の Voice over IPプロトコルで使されます-プラグイン間の接続Citrix Gatewayは内部ネットワーク IPアドレスを使してプラグイン間の接続をサポートしますこのタイプの接続では同じ Citrix Gatewayを使する 2つの Citrix Gatewayユーザーデバイスが相互に接続を開始できますこの種類の例としてOffice Communicatorや Yahoo などのインスタントメッセージングアプリケーションを使しますメッセンジャーユーザーが Citrix Gatewayをログオフしログオフ要求がアプライアンスに届かなかった場合ユーザーは任意のデバイスを使して再度ログオンし前のセッションを新しいセッションに置き換えることができますこの機能はユーザごとに 1つの IPアドレスが割り当てられる配置で役ちますユーザーが Citrix Gatewayに初めてログオンするとセッションが作成されIPアドレスが割り当てられますユーザーがログオフしてもログオフ要求が失われたりユーザーデバイスがクリーンログオフを実できなかった場合セッションはシステム上で維持されますユーザーが同じデバイスまたは別のデバイスから再度ログオンしようとすると認証に成功した後ログオンの転送ダイアログボックスが表されますユーザーがログオンを転送するとCitrix Gateway上の前のセッションが閉じられ新しいセッションが作成されますログオンの転送はログオフ後の 2分間しかアクティブになりません複数のデバイスから同時にログオンを試みると最後のログオン試によって元のセッションが置き換えられます


Citrix Gatewayでのルーティングの構成

March 26 2020


Citrix Gateway 130

内部ネットワークリソースへのアクセスを提供するにはCitrix Gatewayが内部で安全なネットワークにデータをルーティングできる必要がありますデフォルトではCitrix Gatewayは静的ルートを使します

Citrix GatewayがデータをルーティングできるネットワークはCitrix Gatewayのルーティングテーブルと CitrixGatewayに指定したデフォルト Gatewayの構成によって決まります

Citrix Gatewayのルーティングテーブルにはユーザーがアクセスする必要のある内部ネットワークリソースにデータをルーティングするために必要なルートが含まれている必要があります

Citrix Gatewayでは次のルーティングプロトコルがサポートされています

bull Routing Information Protocol (RIP v1および v2)bull Open Shortest Path First (OSPF)bull Border Gateway Protocol (BGF)

スタティックルートの設定

別のホストまたはネットワークとの通信を設定するときに動的ルーティングを使しない場合はCitrix Gatewayから新しい宛先への静的ルートを構成する必要があります

スタティックルートを設定するには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ネットワーク] gt [詳細設定]を展開し[ルート]をクリックします

2 詳細ウィンドウの [基本]タブで[追加]をクリックします3 ルートの設定を構成し[Create]をクリックします

スタティックルートをテストするには

1 構成ユーティリティのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします

2 詳細ペインの [ユーティリティ]で[Ping]をクリックします

3 [パラメータ]の [ホスト名]にデバイスの名前をします

4 [詳細設定]の [送信元 IPアドレス]にデバイスの IPアドレスをし[実]をクリックします

他のデバイスとの通信に成功した場合は同じ数のパケットが送信および受信されパケットが失われなかったことをすメッセージが表されます

他のデバイスと通信していない場合ステータスメッセージにはパケットが受信されずすべてのパケットが失われたことがされますこの通信不を修正するには順を繰り返してスタティックルートを追加します


Citrix Gateway 130

テストを停するには[Ping]ダイアログボックスで [停]をクリックし[閉じる]をクリックします


動ネゴシエーションの設定

March 26 2020

デフォルトではアプライアンスはオートネゴシエーションを使するように構成されていますこのオートネゴシエーションではCitrix Gatewayはネットワークトラフィックを両向に送信し適切なアダプタ速度を決定しますデフォルト設定の「動ネゴシエーション」のままにするとCitrix Gatewayは全重操作を使しますネットワークアダプタは双向で同時にデータを送信できます

動ネゴシエーションを無効にするとCitrix Gatewayは半重操作を使します半重操作ではアダプターは 2つのノード間で両向にデータを送信できますがアダプターは度に使できるのはまたは他のみです

初めてインストールする場合はアプライアンスに接続されているポートに対して動ネゴシエーションを使するように Citrix Gatewayを構成することをお勧めします最初にログオンして Citrix Gatewayを構成したら動ネゴシエーションを無効にできます動ネゴシエーションをグローバルに設定することはできません各インターフェイスの設定を有効または無効にする必要があります

動ネゴシエーションを有効または無効にするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ネットワーク]を展開し[インターフェイス]をクリックします

2 詳細ペインでインターフェイスを選択し[開く]をクリックします3 [インターフェイスの設定]ダイアログボックスで次のいずれかの操作をいます

bull 動ネゴシエーションを有効にするには[動ネゴシエーション]の横にある [はい]をクリックし[OK]をクリックします

bull 動ネゴシエーションを無効にするには[動ネゴシエーション]の横にある [いいえ]をクリックし[OK]をクリックします



Citrix Gateway 130

認証と承認

March 26 2020

Citrix GatewayではCitrix Gatewayのユーザー認証を幅広くカスタマイズできる柔軟な認証設計を採しています業界標準の認証サーバーを使しサーバーを使してユーザーを認証するように Citrix Gatewayを構成できますCitrix Gatewayではクライアント証明書に存在する属性に基づく認証もサポートされますCitrixGateway認証はユーザー認証に単のソースを使する単純な認証順と複数の認証タイプに依存するより複雑なカスケード認証順に対応するように設計されています

Citrix Gateway認証にはローカルユーザーおよびグループを作成するためのローカル認証が組み込まれていますこの設計では構成する認証順を制御するポリシーの使を中としています作成するポリシーはCitrixGatewayのグローバルサーバーレベルまたは仮想サーバーレベルで適できユーザーのソースネットワークに基づいて条件付きで認証サーバーパラメーターを設定できます

ポリシーはグローバルにバインドされるか仮想サーバーにバインドされるためポリシーに優先順位を割り当てて認証の部として複数の認証サーバーのカスケードを作成することもできます

Citrix Gatewayには次の認証タイプがサポートされています

bull Localbull Lightweight Directory Access Protocol (LDAP)bull RADIUSbull SAMLbull TACACS+bull クライアント証明書認証 (スマートカード認証を含む)

Citrix Gateway はRSA セキュリティ IDゲマルトプロティバおよびセーフワードもサポートしていますRADIUSサーバを使してこれらのタイプの認証を設定します

認証によりユーザーは Citrix Gatewayにログオンして内部ネットワークに接続できますが認証によってユーザーがアクセスできる安全なネットワーク内のリソースが定義されます認可はLDAPポリシーおよび RADIUSポリシーを使して設定します



March 26 2020

Citrix Gatewayをインストールして Citrix Gatewayウィザードを実するとウィザード内で認証を構成しましたこの認証ポリシーはCitrix Gatewayのグローバルレベルに動的にバインドされますCitrix Gatewayウ


Citrix Gateway 130

ィザードで設定する認証タイプはデフォルトの認証タイプですデフォルトの認証タイプを変更するにはCitrixGatewayウィザードを再度実するか構成ユーティリティでグローバル認証設定を変更します

認証の種類を追加する必要がある場合はCitrix Gatewayで認証ポリシーを構成し構成ユーティリティを使してポリシーを Citrix Gatewayにバインドできます認証をグローバルに設定する場合は認証のタイプを定義し設定を構成し認証できる最ユーザ数を設定します

ポリシーを設定してバインドしたらプライオリティを設定してどの認証タイプが優先されるかを定義できますたとえばLDAPおよび RADIUS認証ポリシーを設定しますLDAPポリシーのプライオリティ番号が 10でRADIUSポリシーのプライオリティ番号が 15の場合各ポリシーをバインドする場所に関係なくLDAPポリシーが優先されますこれをカスケード認証と呼びます

ログオンページはCitrix Gatewayのインメモリキャッシュから配信するかCitrix Gatewayで実されているHTTPサーバーから配信するかを選択できますメモリ内キャッシュからログオンページを配信する場合CitrixGatewayからのログオンページの配信はHTTPサーバーからの送信よりも幅に速ですメモリ内キャッシュからログオンページを配信することを選択すると多数のユーザーが同時にログオンするときの待機時間が短縮されますキャッシュからのログオンページの配信はグローバル認証ポリシーの部としてのみ構成できます

また認証の特定の IPアドレスであるネットワークアドレス変換 (NAT) IPアドレスを構成することもできますこの IPアドレスは認証で意でありCitrix Gatewayのサブネットマッピングされた IPアドレスまたは仮想 IPアドレスではありませんこれはオプションの設定です

注Citrix Gatewayウィザードを使して SAML認証を構成することはできません

クイック構成ウィザードを使してLDAPRADIUSおよびクライアント証明書の認証を構成できますウィザードを実するとCitrix Gatewayで構成されている既存の LDAPサーバーまたは RADIUSサーバーから選択できますLDAPまたは RADIUSの設定を構成することもできます2要素認証を使する場合はプライマリ認証タイプとして LDAPを使することをお勧めします

認証をグローバルに設定するには


2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [最ユーザー数]にこの認証の種類を使して認証できるユーザーの数をします4 [NAT IPアドレス]に認証に使する意の IPアドレスをします5 [静的キャッシュを有効にする]を選択してログオンページを速に配信します6 認証が失敗した場合にユーザーにメッセージを提供するには[拡張認証フィードバックを有効にする]を選択しますユーザーが受け取るメッセージにはパスワードのエラーアカウントの無効化またはロック済みまたはユーザーがつからなかったなどがあります

7「デフォルトの認証タイプ」で認証タイプを選択します8 認証の種類の設定を構成し[OK]をクリックします


Citrix Gateway 130



April 9 2020

承認はユーザーが Citrix Gateway経由で接続できるリソースを定義します認可ポリシーを構成するには式を使しポリシーを許可または拒否するように設定しますCitrix Gatewayでは認証のみを使するように構成できます

承認なしで認証を構成するとCitrix Gatewayはグループ承認チェックを実しませんユーザーまたはグループに対して構成するポリシーはユーザーに割り当てられます

認可の設定の詳細については認可の設定を参照してください


認可の設定

March 26 2020

承認はユーザーが Citrix Gatewayにログオンするときにアクセスできるネットワークリソースを指定します認可のデフォルト設定ではすべてのネットワークリソースへのアクセスを拒否しますデフォルトのグローバル設定を使し承認ポリシーを作成してユーザーがアクセスできるネットワークリソースを定義することをお勧めします

Citrix Gatewayで承認を構成するには承認ポリシーと式を使します承認ポリシーを作成したらアプライアンスで構成したユーザーまたはグループにそのポリシーをバインドできます



March 26 2020


Citrix Gateway 130

認可ポリシーを設定するときに内部ネットワークのネットワークリソースへのアクセスを許可または拒否するように設定できますたとえばユーザが 10330ネットワークにアクセスできるようにするには次の式を使します

REQIPDESTIP==10300 -netmask 25525500

承認ポリシーはユーザーとグループに適されますユーザーが認証されるとCitrix GatewayはRADIUSLDAPまたは TACACS+サーバーからユーザーのグループ情報を取得してグループ承認チェックを実しますユーザーがグループ情報を使できる場合Citrix Gatewayはそのグループに許可されているネットワークリソースをチェックします

ユーザーがアクセスできるリソースを制御するには承認ポリシーを作成する必要があります認可ポリシーを作成する必要がない場合はデフォルトのグローバル認可を設定できます

ファイルパスへのアクセスを拒否する式を認可ポリシー内に作成した場合ルートディレクトリではなくサブディレクトリパスのみを使できますたとえば「ルートディレクトリ dir1 dir2」ではなくfspathに「dir1 dir2」が含まれているを使しますこの例で 2番のバージョンを使するとポリシーは失敗します

認可ポリシーを設定したら次のタスクにすようにそれをユーザーまたはグループにバインドします

デフォルトでは認可ポリシーは最初に仮想サーバにバインドしたポリシーに対して検証され次にグローバルにバインドされたポリシーに対して検証されますポリシーをグローバルにバインドしユーザーグループまたは仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合はポリシーのプライオリティ番号を変更できますプライオリティ番号はゼロから始まりますプライオリティ番号がさいほどポリシーの優先順位がくなります

たとえばグローバルポリシーの優先順位番号が 1でユーザの優先順位が 2の場合グローバル認証ポリシーが最初に適されます

重要

bull 従来の認可ポリシーはTCPトラフィックにだけ適されます

bull 度な認可ポリシーはすべてのタイプのトラフィック（TCPUDPICMPDNS）に適できます

ndash UDPICMPDNS トラフィックにポリシーを適するにはポリシーが UDP_REQUESTICMP_REQUESTDNS_REQUESTの各タイプでバインドされている必要があります

ndash バインディング中「タイプ」が明的に及されていないか「タイプ」が REQUESTに設定されている場合動作は以前のビルドから変更されませんつまりこれらのポリシーはTCPトラフィックにのみ適されます

度な承認ポリシーの詳細については「httpssupportcitrixcomarticleCTX232237」を参照してください

GUIを使して認可ポリシーを設定するには

1 Citrix Gateway gt［ポリシー］gt［認証］に移動します2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします


Citrix Gateway 130

4「アクション」で「許可」または「拒否」を選択します5 [式]で[式エディタ]をクリックします6 式の構成を開始するには[選択]をクリックして必要な要素を選択します7 式が完成したら[完了]をクリックします8［作成］をクリックします

GUIを使して認可ポリシーをユーザーにバインドするには

1 Citrix Gateway gt［ユーザー管理］に移動します2 [ AAAユーザ]をクリックします3 詳細ペインでユーザーを選択し[編集]をクリックします4 [詳細設定]で[承認ポリシー]をクリックします5「ポリシーバインディング」ページでポリシーを選択するかポリシーを作成します6 [優先度]で優先度番号を設定します7「タイプ」で要求タイプを選択し「OK」をクリックします

GUIを使して認可ポリシーをグループにバインドするには

1 Citrix Gateway gt［ユーザー管理］に移動します2 [ AAAグループ]をクリックします3 詳細ペインでグループを選択し[編集]をクリックします4 [詳細設定]で[承認ポリシー]をクリックします5「ポリシーバインディング」ページでポリシーを選択するかポリシーを作成します6 [優先度]で優先度番号を設定します7「タイプ」で要求タイプを選択し「OK」をクリックします



March 26 2020

ユーザが内部ネットワーク上でアクセスできるリソースを定義するにはデフォルトのグローバル認可を設定しますグローバル認可を設定するには内部ネットワーク上のネットワークリソースへのアクセスをグローバルに許可または拒否します

作成したグローバル認可アクションは直接またはグループを通じて認可ポリシーが関連付けられていないすべてのユーザに適されますユーザまたはグループの認可ポリシーは常にグローバル認可アクションよりも優先され


Citrix Gateway 130

ますデフォルトの認可アクションが Denyに設定されている場合はすべてのユーザまたはグループに認可ポリシーを適してそれらのユーザまたはグループがネットワークリソースにアクセスできるようにする必要がありますこの要件はセキュリティを向上させるのに役ちます

デフォルトのグローバル認可を設定するには次の順を実します


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブの [既定の承認操作]の横にある [許可]または [拒否]を選択し[OK]をクリックします


認証の無効化

March 26 2020

デプロイメントで認証が不要な場合は無効にすることができます認証を必要としない各仮想サーバーの認証を無効にできます

重要慎重に認証を無効にすることをお勧めします外部認証サーバーを使していない場合はCitrix Gatewayでユーザーの認証を許可するローカルユーザーとグループを作成します認証を無効にするとCitrix Gatewayへの接続を制御および監視する認証承認およびアカウンティング機能の使が停しますユーザーが CitrixGatewayに接続するためにWebアドレスをしてもログオンページは表されません

認証を無効にするには


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [認証]タブの [ユーザー認証]で[認証を有効にする]をクリックしてオフにします



March 26 2020


Citrix Gateway 130

通常の勤務時間などの特定の時間にユーザが内部ネットワークへのアクセスを許可するように認証ポリシーを設定できますユーザーが別の時間にログオンしようとするとログオンは拒否されます

ユーザーが Citrix Gatewayにログオンするタイミングを制限するには認証ポリシー内で式を作成し仮想サーバーまたはグローバルにバインドします

時刻付または曜の認証を構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [認証]で認証の種類を選択します3 詳細ペインで[ポリシー]タブをクリックし認証ポリシーを選択して [開く]をクリックします4 [認証ポリシーの構成]ダイアログボックスの [式]で[任意の式に致]の横にある [追加]をクリックします5 [式の追加]ダイアログボックスの [式の種類]で[付時刻]を選択します6「修飾」で次のいずれかを選択します

bull ユーザーがログオンできない時間を構成する時間bull ユーザーがログオンできない付を構成するには[DATE]をクリックしますbull DAYOFWEEKを使してユーザーがログオンできないを設定します

7「演算」で値を選択します8 [値]でテキストボックスの横のカレンダーをクリックし付または時刻を選択します9 [OK]を 2回クリックし[閉じる]をクリックして [OK]をクリックします



March 26 2020

ユーザーが Citrix Gatewayにログオンするとユーザーが作成したポリシーに従って認証されますポリシーは認証タイプを定義します単の認証ポリシーは単純な認証のニーズに使でき通常はグローバルレベルでバインドされますデフォルトの認証タイプ（ローカル）を使することもできますローカル認証を構成する場合はCitrix Gatewayでユーザーとグループも構成する必要があります

複数の認証ポリシーを構成しそれらをバインドして詳細な認証順と仮想サーバーを作成できますたとえば複数のポリシーを設定することでカスケード認証と 2要素認証を設定できますまた認証ポリシーの優先順位を設定してCitrix Gatewayがユーザーの資格情報をチェックするサーバーと順序を決定することもできます認証ポリシーには式とアクションが含まれますたとえば式を True valueに設定した場合ユーザーがログオンするとアクションによってユーザーログオンが trueと評価されユーザーはネットワークリソースにアクセスできます


Citrix Gateway 130

認証ポリシーを作成したらグローバルレベルまたは仮想サーバのいずれかでポリシーをバインドします少なくとも 1つの認証ポリシーを仮想サーバーにバインドする場合グローバル認証の種類が仮想サーバーにバインドされているポリシーよりも優先順位がい場合を除きユーザーが仮想サーバーにログオンするときにグローバルレベルにバインドした認証ポリシーは使されません

ユーザーが Citrix Gatewayにログオンすると認証は次の順序で評価されます

bull 仮想サーバでバインドされた認証ポリシーがあるかどうかがチェックされますbull 認証ポリシーが仮想サーバーにバインドされていない場合Citrix Gatewayはグローバル認証ポリシーをチェックします

bull 認証ポリシーが仮想サーバーまたはグローバルにバインドされていない場合ユーザーはデフォルトの認証タイプを使して認証されます

LDAPおよび RADIUS認証ポリシーを設定し2要素認証にポリシーをグローバルにバインドする場合は設定ユーティリティでポリシーを選択しポリシーがプライマリ認証タイプかセカンダリ認証タイプかを選択できますグループ抽出ポリシーを設定することもできます



April 9 2020

Citrix Gatewayウィザードまたは構成ユーティリティを使して認証プロファイルを作成できますプロファイルには認証ポリシーのすべての設定が含まれますプロファイルは認証ポリシーを作成するときに構成します

Citrix Gatewayウィザードでは選択した認証タイプを使して認証を構成できますウィザードの実後に追加の認証ポリシーを構成する場合は構成ユーティリティを使できますCitrix Gatewayウィザードの詳細については「Citrix Gatewayウィザードを使した設定の構成」を参照してください

構成ユーティリティを使して認証ポリシーを作成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 外部認証タイプを使している場合は[サーバー]の横にある [新規]をクリックします5 [認証サーバーの作成]ダイアログボックスで認証の種類の設定を構成し[作成][閉じる]の順にクリックします

6 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします


Citrix Gateway 130

注意認証タイプを選択して認証プロファイルを保存する場合認証タイプは変更できません別の認証タイプを使するには新しいポリシーを作成する必要があります

構成ユーティリティを使して認証ポリシーを変更するには

認証サーバの IPアドレスや式など設定された認証ポリシーおよびプロファイルを変更できます

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ペインの [サーバー]タブでサーバーを選択し[開く]をクリックします

認証ポリシーを削除するには

ネットワークから認証サーバーを変更または削除した場合はCitrix Gatewayから対応する認証ポリシーを削除します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ペインの [ポリシー]タブでポリシーを選択し[削除]をクリックします



March 26 2020

認証ポリシーを設定したらポリシーをグローバルにバインドするか仮想サーバにバインドしますいずれかの設定ユーティリティーを使して認証ポリシーをバインドできます

構成ユーティリティを使して認証ポリシーをグローバルにバインドするには次の順を実します


2 認証タイプをクリックします

3 詳細ウィンドウの [ポリシー]タブでサーバーをクリックし[操作]で [グローバルバインド]をクリックします

4 [プライマリ]タブまたは [セカンダリ]タブの [詳細]で[ポリシーの挿]をクリックします


注ポリシーを選択するとCitrix Gatewayによって式が Trueの値に動的に設定されます


Citrix Gateway 130

構成ユーティリティを使してグローバル認証ポリシーをバインド解除するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ポリシー]タブの [操作]で[グローバルバインド]をクリックします3 [認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスの [プライマリ]タブまたは [セカンダリ]タブの [ポリシー名]でポリシーを選択し[ポリシーのバインド解除]をクリックして[OK]をクリックします



March 26 2020

デフォルトでは認証ポリシーは最初に仮想サーバにバインドしたポリシーに対して検証され次にグローバルにバインドされたポリシーに対して検証されます認証ポリシーをグローバルにバインドし仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合はポリシーのプライオリティ番号を変更できますプライオリティ番号はゼロから始まりますプライオリティ番号がさいほど認証ポリシーの優先順位がくなります

たとえばグローバルポリシーのプライオリティ番号が 1で仮想サーバのプライオリティが 2の場合グローバル認証ポリシーが最初に適されます

グローバル認証ポリシーの優先順位を設定または変更するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ポリシー]タブの [操作]で[グローバルバインド]をクリックします3 [認証グローバルポリシーのバインドバインド解除]ダイアログボックスの [プライマリ]タブまたは [セカンダリ]タブで[優先度]に番号をし[OK]をクリックします




2 仮想サーバを選択し[開く]をクリックします3 [認証]タブをクリックし[プライマリ]または [セカンダリ]を選択します4 ポリシーを選択し[優先度]に優先度の番号をし[OK]をクリックします



Citrix Gateway 130


March 26 2020

Citrix Gatewayでローカルにユーザーアカウントを作成して認証サーバー上のユーザーを補完することができますたとえば社外のコンサルタントや来訪者などの時的なユーザーのアカウントを認証サーバー上ではなくAccess Gateway上にローカルに作成します

ローカル認証を使している場合はユーザーを作成しCitrix Gatewayで作成したグループに追加しますユーザーとグループを構成したら承認およびセッションポリシーを適しブックマークを作成しアプリケーションを指定しユーザーがアクセスできるファイル共有とサーバーの IPアドレスを指定できます

ローカルユーザーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4 ローカル認証を使している場合は[外部認証]をオフにします注意LDAPや RADIUSなどの外部認証サーバーに対してユーザーが認証されるようにするには「外部認証」を選択しますこのチェックボックスをオフにするとCitrix Gatewayがローカルユーザーデータベースに対して認証されます


ユーザパスワードを変更するには

ローカルユーザーの作成後ユーザーのパスワードを変更したり外部認証サーバーに対して認証されるようにユーザーアカウントを構成したりできます


2 詳細ペインでユーザーを選択し[開く]をクリックします3 [パスワード]と [パスワードの確認]にユーザーの新しいパスワードをし[OK]をクリックします

ユーザーの認証法を変更するには

ローカル認証に構成されているユーザーがいる場合は認証を外部認証サーバに変更できますこれをうには外部認証を有効にします


Citrix Gateway 130


2 詳細ペインでユーザーを選択し[開く]をクリックします3 [外部認証]を選択し[OK]をクリックします

ユーザーを削除するには

Citrix Gatewayからユーザーを削除することもできます


2 詳細ペインでユーザーを選択し[削除]をクリックします

Citrix Gatewayからユーザーを削除すると関連するすべてのポリシーもユーザープロファイルから削除されます



March 26 2020

Citrix Gatewayではローカルグループでありローカル認証でユーザーを認証できるグループを作成できます認証に外部サーバーを使している場合Citrix Gatewayのグループは内部ネットワークの認証サーバーで構成されたグループと致するように構成されますユーザーがログオンして認証されるとグループ名が認証サーバー上のグループと致する場合ユーザーは Citrix Gateway上のグループの設定を継承します

グループを構成したら承認ポリシーとセッションポリシーの適ブックマークの作成アプリケーションの指定ユーザーがアクセスできるファイル共有とサーバーの IPアドレスの指定をうことができます

ローカル認証を使している場合はユーザーを作成しCitrix Gatewayで構成されたグループに追加しますユーザーはそのグループの設定を継承します

重要ユーザーが Active Directoryグループのメンバーである場合Citrix Gateway上のグループの名前は ActiveDirectoryグループと同じである必要があります

新しいグループを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をし[作成]をクリックし[閉じる]をクリックします


Citrix Gateway 130

グループを削除するには

Citrix Gatewayからユーザーグループを削除することもできます


2 詳細ペインでグループを選択し[削除]をクリックします



March 26 2020

ユーザーをグループに追加するにはグループの作成時または後で追加できます複数のグループにユーザーを追加してユーザーはそれらのグループにバインドされているポリシーと設定を継承できます

ユーザーをグループに追加するには次の順に従います


2 詳細ウィンドウでグループを選択し[開く]をクリックします3 [ユーザー]タブの [使可能なユーザー]でユーザーを選択し[追加]をクリックして [OK]をクリックします


グループを使したポリシーの設定

March 26 2020

グループを構成したら[グループ]ダイアログボックスを使してユーザーアクセスを指定するポリシーと設定を適できますローカル認証を使している場合はユーザーを作成しCitrix Gatewayで構成されたグループに追加しますユーザーはそのグループの設定を継承します

[グループ]ダイアログボックスでユーザーのグループに対して次のポリシーまたは設定を構成できます

bull ユーザーbull 承認ポリシーbull 監査ポリシー


Citrix Gateway 130

bull セッションポリシーbull トラフィックポリシーbull ブックマークbull イントラネットアプリケーションbull イントラネット IPアドレス

構成では複数のグループに属するユーザーがいる場合がありますさらに各グループには異なるパラメータが設定された 1つ以上のバインドされたセッションポリシーがある場合があります複数のグループに属するユーザーはそのユーザーが属するすべてのグループに割り当てられたセッションポリシーを継承しますどのセッションポリシー評価が他よりも優先されるかを確認するにはセッションポリシーの優先度を設定する必要があります

たとえばグループ 1がホームページwwwhomepage1comで構成されたセッションポリシーにバインドされているとしますグループ 2はホームページwwwhomepage2comで構成されたセッションポリシーにバインドされますこれらのポリシーが優先順位番号のないグループまたは優先順位番号が同じグループにバインドされている場合両のグループに属するユーザーに表されるホームページは最初に処理されるポリシーによって異なりますホームページwwwhomepage1comのセッションポリシーの優先順位を低く設定すると両のグループに属するユーザーが常にホームページwwwhomepage1comを受け取ることができます

セッションポリシーに優先順位番号が割り当てられていないか同じ優先順位番号が割り当てられていない場合優先順位は次の順序で評価されます

bull ユーザーbull グループbull 仮想サーバbull グローバル

ポリシーがプライオリティ番号なしで同じレベルにバインドされている場合またはポリシーが同じプライオリティ番号を持つ場合評価の順序はポリシーバインド順序に従ってわれます最初にレベルにバインドされたポリシーは後でバインドされたポリシーよりも優先されます


LDAP認証の構成

April 9 2020

1つ以上の LDAPサーバーを使してユーザーアクセスを認証するように Citrix Gatewayを構成できます

LDAP認証にはActive DirectoryLDAPサーバーおよび Citrix Gatewayで同じグループ名が必要ですグループ名は字字の使い分けを含め字句正確に致させる必要があります

既定ではLDAP認証はセキュアソケットレイヤー (SSL)またはトランスポート層セキュリティ (TLS)を使してセキュリティで保護されていますセキュア LDAP接続には 2つのタイプがあります1つのタイプの場合LDAP


Citrix Gateway 130

サーバはLDAPサーバがクリア LDAP接続を受けれるために使するポートとは別のポートで SSLまたは TLS接続を受けれますユーザーが SSL接続または TLS接続を確するとLDAPトラフィックは接続を介して送信できます

LDAP接続のポート番号は次のとおりです

bull セキュリティで保護されていない LDAP接続の場合は 389bull 安全な LDAP接続の 636bull Microsoftのセキュリティで保護されていない LDAP接続の場合 3268bull Microsoftの LDAP接続のセキュリティで保護された 3269

2番のタイプのセキュア LDAP接続ではStartTLSコマンドを使しポート番号 389を使しますCitrixGatewayでポート番号 389または 3268を構成するとサーバーは StartTLSを使して接続を試みます他のポート番号を使する場合サーバーは SSLまたは TLSを使して接続を試みますサーバーが StartTLSSSLまたは TLSを使できない場合接続は失敗します

LDAPサーバーのルートディレクトリを指定するとCitrix Gatewayはすべてのサブディレクトリを検索してユーザー属性を検索しますきなディレクトリではこの法はパフォーマンスに影響を与える可能性がありますこのため特定の組織単位（OU）を使することをお勧めします

次の表にLDAPサーバーのユーザー属性フィールドの例をします

LDAPサーバーユーザー属性字と字を区別する

Microsoft Active DirectoryServer

sAMAccountName いいえ

Novell eDirectory ou はい

IBM Directory Server uid はい

Lotus Domino CN はい

Sun ONE Directory（旧iPlanet）

uidまたは cn はい

次の表にベース DNの例をします


Microsoft Active Directory Server DC=citrixDC=local

Novell eDirectory ou=usersou=dev

IBM Directory Server cn=users

Lotus Domino OU=CityO=Citrix C=US


Citrix Gateway 130


Sun ONE Directory（旧 iPlanet） ou=Peopledc=citrixdc=com

次の表にバインド DNの例をします

LDAPサーバー Bind DN

Microsoft Active Directory Server CN=Administrator CN=Users DC=citrixDC=local

Novell eDirectory cn=admin o=citrix

IBM Directory Server LDAP_dn

Lotus Domino CN=Notes Administrator O=Citrix C=US

Sun ONE Directory（旧 iPlanet） uid=adminou=Administratorsou=TopologyManagemento=NetscapeRoot

注LDAPサーバ設定の詳細についてはLDAPディレクトリ内の属性の決定を参照してください


構成ユーティリティを使して LDAP認証を構成するには

March 26 2020

1 Citrix Gateway gt［ポリシー］gt［認証］に移動します

2 [ LDAP]をクリックします


4 [名前]にポリシーの名前をします


6 [名前]にサーバーの名前をします

7 [サーバー]の [ IPアドレス]と [ポート]にLDAPサーバーの IPアドレスとポート番号をします

8 [種類]で[Active Directory]の場合は [ AD][Novellディレクトリサービス]の場合は [ NDS]を選択します


Citrix Gateway 130

9 [接続の設定]で次の操作をいます

a) [ベース DN (ユーザーの場所)]にユーザーが配置されるベース DNをしますベース DNは選択したディレクトリ（ADまたは NDS）の下にあるユーザーを検索します

ベース DNはユーザー名を削除しユーザーが配置されているグループを指定することによってバインド DNから取得されます基本識別名の構の例を次にします

1 ou=usersdc=acedc=com2 cn=Usersdc=acedc=com

b) [管理者バインド DN]にLDAPディレクトリへのクエリの管理者バインド DNをしますバインド DNの構の例を次にします

1 domainuser name2 ou=administratordc=acedc=com3 userdomainname (for Active Directory)4 cn=Administratorcn=Usersdc=acedc=com

Active Directoryの場合はcn=グループ名として指定されたグループ名が必要ですCitrix Gatewayで定義するグループ名と LDAPサーバー上のグループ名は同である必要があります

他の LDAPディレクトリの場合グループ名は必須ではないか必要に応じて ou=groupnameとして指定されます

Citrix Gatewayは管理者の資格情報を使して LDAPサーバーにバインドしユーザーを検索しますユーザーをつけた後Citrix Gatewayは管理者の資格情報をアンバインドしユーザーの資格情報で再バインドします

c) [管理者パスワード]と [管理者パスワードの確認]にLDAPサーバーの管理者パスワードをします

10 追加の LDAP設定を動的に取得するには[属性の取得]をクリックします

[属性の取得]をクリックすると[その他の設定]の下のフィールドが動的にされますこの順を無視する場合は順 12および 13に進みますそれ以外の場合は順 14に進みます

11［その他の設定］の［サーバーのログオン名の属性］に構成する LDAP サーバーのログオン名を CitrixGatewayが検索する属性をしますデフォルトは「samAccountName」です

12「検索フィルタ」に単または複数のアクティブなディレクトリグループに関連付けられているユーザーを検索する値をします

たとえば「memberOf=CN=GatewayAccessOU=GroupsDC=UsersDC=lab」などです

注


Citrix Gateway 130

上記の例を使するとCitrix Gatewayのアクセスを特定の ADグループのメンバーのみに制限できます

13 [グループ属性]でActive DirectoryのデフォルトのmemberOfのままにするか使している LDAPサーバーの種類の属性に属性を変更しますこの属性によりCitrix Gatewayは承認中にユーザーに関連付けられたグループを取得できます

14 [セキュリティの種類]でセキュリティの種類を選択し[作成]をクリックします

15 ユーザーが LDAPパスワードを変更できるようにするには[パスワードの変更を許可]を選択します

注

bull セキュリティタイプとして PLAINTEXTを選択した場合ユーザーにパスワードの変更を許可することはできません

bull セキュリティのために PLAINTEXTまたは TLSを選択した場合はポート番号 389を使しますSSLを選択した場合はポート番号 636を使します


LDAPディレクトリ内の属性の決定

March 26 2020

Citrix Gatewayで認証設定を構成できるようにLDAPディレクトリ属性を決定する際にサポートが必要な場合はSofterraの無料の LDAPブラウザーで簡単に検索できます

LDAPブラウザはからダウンロードできますLDAPアドミニストレーターWebサイトブラウザをインストールしたら次の属性を設定します

bull LDAPサーバーのホスト名または IPアドレスbull LDAPサーバーのポートデフォルトは 389ですbull ベース DNフィールド空のままにできますLDAPブラウザーから提供される情報はCitrix Gatewayでこの設定を構成するために必要なベース DNを特定するのに役ちます

bull 匿名バインドチェックではLDAPサーバに接続するためにユーザクレデンシャルが必要かどうかを判断しますLDAPサーバーでクレデンシャルが必要な場合はチェックボックスをオフのままにします

設定が完了するとLDAPブラウザは左ペインにプロファイル名を表しLDAPサーバに接続します



Citrix Gateway 130

LDAPグループ抽出の設定

April 9 2020

2要素認証を使している場合はプライマリ認証ソースとセカンダリ認証ソースの両から抽出されたグループが連結されます認可ポリシーはプライマリまたはセカンダリ認証サーバから抽出されたグループに適できます

LDAPサーバーから取得したグループ名はCitrix Gatewayでローカルに作成されたグループ名と較されます2つのグループ名が致する場合ローカルグループのプロパティは LDAPサーバから取得したグループに適されます

ユーザーが複数の LDAPグループに属している場合Citrix Gatewayはユーザーが属するすべてのグループからユーザー情報を抽出しますユーザーが Citrix Gateway上の 2つのグループのメンバーであり各グループにバインドされたセッションポリシーがある場合ユーザーは両のグループからセッションポリシーを継承しますユーザーが正しいセッションポリシーを受け取るようにするにはセッションポリシーの優先順位を設定します

Citrix Gateway認証で動作する LDAPグループメンバーシップ属性の詳細については以下を参照してください

bull LDAPグループ抽出のユーザーオブジェクトからの直接の動作bull LDAPグループ抽出がグループオブジェクトから間接的に機能する法


LDAPグループ抽出のユーザーオブジェクトからの直接の動作

March 26 2020

グループオブジェクトからグループメンバーシップを評価する LDAPサーバーはCitrix Gateway認証で動作します

部の LDAPサーバーではActive Directory (memberOf属性を使)や IBM eDirectory (groupMembership属性を使)などオブジェクトが属するグループに関する情報をユーザーオブジェクトに含めることができますユーザーのグループメンバーシップはIBMディレクトリサーバー (ibm-allGroupsを使)や Sun ONEディレクトリサーバー (nsRoleを使)などのユーザーオブジェクトの属性にすることができますこれらのタイプの LDAPサーバーはいずれもCitrix Gatewayグループ抽出で動作します

たとえばIBM Directory Serverでは静的動的ネストされたグループを含むすべてのグループメンバーシップはibm-allGroups属性を使して返すことができますSun ONEでは管理フィルタリングネストを含むすべてのロールが nsRole属性を使して計算されます



Citrix Gateway 130

LDAPグループ抽出がグループオブジェクトから間接的に機能する法

March 26 2020

グループオブジェクトからのグループメンバーシップを間接的に評価する LDAPサーバーはCitrix Gateway認証では機能しません

Lotus Dominoなどの部の LDAPサーバーではグループオブジェクトにユーザーに関する情報のみを含めることができますこれらの LDAPサーバーではユーザーオブジェクトにグループに関する情報を格納できないためCitrix Gatewayグループ抽出では機能しませんこのタイプの LDAPサーバではグループのメンバーリストでユーザーを検索することによりグループメンバーシップ検索が実されます


LDAP認可グループのアトリビュートフィールド

March 26 2020

次の表にLDAPグループ属性フィールドの例をします

LDAPサーバ LDAP属性

Microsoft Active Directory Server memberOf

Novell eDirectory groupMembership

IBM Directory Server ibm-allGroups

Sun ONE Directory（旧 iPlanet） nsRole


LDAP認可を設定するには

March 26 2020

認証ポリシーで LDAP認可を設定するにはグループアトリビュート名とサブアトリビュートを設定します


Citrix Gateway 130

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [認証]で認証の種類をクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にサーバーの名前をします7 [サーバー]にLDAPサーバーの IPアドレスとポートをします8 [グループ属性]にmemberOfとします9 [サブ属性]の [名前]に CNとし[作成]をクリックします



LDAPネストされたグループ抽出の設定

March 26 2020

Citrix GatewayではLDAPグループに対してクエリを実し認証サーバー上で構成した上位グループからグループとユーザー情報を抽出できますたとえばgroup1を作成しそのグループ内に group2と group3を作成したとしますユーザーが group3に属している場合Citrix Gatewayはネストされたすべての上位グループ（group2group1）から指定されたレベルまでの情報を抽出します

認証ポリシーを使してLDAPネストされたグループ抽出を設定できますクエリを実するとCitrix Gatewayは最ネストレベルに達するまでまたは使可能なすべてのグループを検索するまでグループを検索します

LDAPネストされたグループ抽出を構成するには

1 構成ユーティリティーのナビゲーションペインで［Citrix Gateway］［ポリシー］［認証承認］［認証］［認証］の順に展開し［LDAP］をクリックします

2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [サーバー]の横にある [新規]をクリックします5 [名前]にサーバーの名前をします6 LDAPサーバの設定を構成します7 [ネストされたグループの抽出]を展開し[有効にする]をクリックします8［最ネストレベル］にCitrix Gatewayがチェックするレベル数をします9 [グループ名識別]にLDAPサーバー上のグループ名を意に識別する LDAP属性名 (sAMAccountNameなど)をします


Citrix Gateway 130

10 [グループ検索属性]に任意のグループの親グループ (memberOfなど)を決定するために検索応答で取得する LDAP属性名をします

11 [グループ検索サブ属性]にグループの親グループを決定するために[グループ検索属性]の部として検索する LDAPサブ属性名をしますたとえば「CN」とします

12 [グループ検索フィルタ]でクエリ字列をしますたとえばフィルタは (amp (サムアカウント名 =テスト) (オブジェクトクラス =))になります

13［Create］をクリックしてから［Close］をクリックします14 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉

じる]の順にクリックします


複数のドメインに対する LDAPグループ抽出の設定

March 26 2020

認証のドメインが複数ありStoreFrontまたはWeb Interfaceを使している場合はグループ抽出を使して正しいドメイン名をWeb Interfaceに送信するように Citrix Gatewayを構成できます

Active Directoryではネットワーク内の各ドメインに対してグループを作成する必要がありますグループを作成したらそのグループと指定したドメインに属するユーザーを追加しますActive Directoryでグループを構成したらCitrix Gateway上の複数のドメインに対して LDAPグループの抽出を構成します

複数のドメインのグループ抽出に Citrix Gatewayを構成するにはネットワーク上のドメイン数と同じ数のセッションおよび認証ポリシーを作成する必要がありますたとえばSampaと Childという 2つのドメインがあるとします各ドメインは1つのセッションポリシーと 1つの認証ポリシーを受け取ります

ポリシーを作成したらCitrix Gatewayでグループを作成しそのグループにセッションポリシーをバインドします次に仮想サーバーに認証ポリシーをバインドします

StoreFrontを複数のドメインに展開する場合はドメイン間に信頼関係が必要です

複数のドメインに Citrix Endpoint ManagementまたはWeb Interfaceを展開する場合ドメインは相互に信頼する必要はありません



Citrix Gateway 130


March 26 2020

グループ抽出のセッションポリシーを作成する最初の順は2つのセッションプロファイルを作成し次のパラメータを設定することです

bull ICAプロキシを有効にしますbull Web Interface Webアドレスを追加しますbull Windowsドメインを追加しますbull プロファイルをセッションポリシーに追加し式を trueに設定します

グループ抽出のセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をしますたとえば「Sampa」とします4 [公開アプリケーション]タブで次の操作をいます

a) ICAプロキシの横にある「グローバルオーバーライド」をクリックし「オン」を選択しますb) Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb Interface Webアドレスをします

c) [シングルサインオンドメイン]の横にある [グローバル上書き]をクリックしWindowsドメインの名前をして [作成]をクリックします

5 [名前]で最初のドメインの名前をクリアし2番のドメインの名前をします ([]など)6 [シングルサインオンドメイン]の横にある最初のWindowsドメインの名前を消去し2番のドメインの名前をし[作成][閉じる]の順にクリックします

セッションプロファイルを作成したら2つのセッションポリシーを作成します各セッションポリシーではプロファイルの 1つを使します



2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4「要求プロファイル」で最初のドメインのプロファイルを選択します5 [名前付き式]の横にある [全般]をクリックし[True value]を選択し[式の追加]をクリックして[作成]をクリックします


Citrix Gateway 130

6 [名前]で名前を 2番のドメインに変更します7 [要求プロファイル]で2番のドメインのプロファイルを選択し[作成][閉じる]の順にクリックします


複数のドメインの LDAP認証ポリシーの作成

March 26 2020

Citrix Gatewayでセッションポリシーを作成したらほぼ同じ LDAP認証ポリシーを作成します認証ポリシーを設定する場合重要なフィールドはSearch FilterですこのフィールドにはActive Directoryで作成したグループの名前をする必要があります

最初に認証プロファイルを作成してから認証ポリシーを作成します

複数のドメイングループ抽出の認証プロファイルを作成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションペインで［LADP］をクリックします3 詳細ウィンドウで[サーバー]タブをクリックし[追加]をクリックします4 [名前]に最初のドメインの名前をします (例Sampa)5 LDAPサーバの設定を構成し[Create]をクリックします6 ステップ 345を繰り返して 2番のドメインの認証プロファイルを設定し[Close]をクリックします

プロファイルを作成して保存したら認証ポリシーを作成します

複数のドメイングループ抽出の認証ポリシーを作成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 詳細ウィンドウで[ポリシー]タブをクリックし[追加]をクリックします3 [名前]に最初のドメインの名前をします4「認証タイプ」で「LDAP」を選択します5「サーバー」で最初のドメインの認証プロファイルを選択します6 [名前付き式]の横にある [全般]をクリックし[True value]を選択し[式の追加]をクリックして[作成]をクリックします

7 [名前]に2番のドメインの名前をします8 [サーバー]で2番のドメインの認証プロファイルを選択し[作成][閉じる]の順にクリックします



Citrix Gateway 130

複数のドメインの LDAPグループ抽出のためのグループとバインディングポリシーの作成

March 26 2020

認証ポリシーを作成したらCitrix Gatewayにグループを作成しますグループを作成したら認証ポリシーを仮想サーバーにバインドします

Citrix Gatewayでグループを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [グループ名]に最初の Active Directoryグループの名前をします重要複数のドメインからグループを抽出するために Citrix Gatewayでグループを作成する場合グループ名は Active Directoryで定義したグループと同じである必要がありますグループ名も字と字が区別され字と字は Active Directoryでした字と字と致する必要があります

4 [ポリシー]タブで[セッション]をクリックし[ポリシーの挿]をクリックします5 [ポリシー名]でポリシーをダブルクリックし[作成]をクリックします

認証ポリシーを仮想サーバーにバインドするには



3 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします4 [認証]タブで [プライマリ]をクリックし[ポリシー名]の [ポリシーの挿]をダブルクリックして最初の認証ポリシーを選択します

5 [ポリシー名]の [ポリシーの挿]をクリックし2番の認証ポリシーをダブルクリックして[OK]をクリックします



Citrix Gateway 130


March 26 2020

Citrix Gateway仮想サーバーにログオンするユーザーをクライアント証明書の属性に基づいて認証することもできますクライアント証明書認証は2要素認証を提供するためにLDAPや RADIUSなどのほかの種類の認証と緒に使することもできます

クライアント側の証明書の属性でユーザーを認証するには仮想サーバー上のクライアント認証が有効になっておりクライアント証明書を要求するように構成されている必要がありますさらにCitrix Gateway上でルート証明書をその仮想サーバーにバインドする必要があります

ユーザーが Citrix Gateway仮想サーバーにログオンすると認証後証明書の指定されたフィールドからユーザー名情報が抽出されます通常このフィールドは SubjectCNですユーザー名の抽出に成功するとユーザーの認証が完了しますSSL（Secure Sockets Layer）ハンドシェイク時に有効な証明書が提供されなかったりユーザー名の抽出に失敗したりすると認証に失敗します

クライアント証明書に基づいて認証するには既定の認証の種類としてクライアント証明書を指定しますまた「証明書アクション」を作成してクライアントの SSL証明書に基づいた認証時の動作を定義することもできます

クライアント証明書をデフォルトの認証タイプとして構成するには


2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [最ユーザー数]にクライアント証明書を使して認証できるユーザーの数をします4「デフォルトの認証タイプ」で「Cert」を選択します5「ユーザー名フィールド」でユーザー名を保持する証明書フィールドの種類を選択します6 [グループ名フィールド]でグループ名を保持する証明書フィールドのタイプを選択します7 [既定の承認グループ]に既定のグループの名前をし[OK]をクリックします

クライアント証明書からのユーザー名の抽出

Citrix Gatewayでクライアント証明書による認証を有効にするとクライアント証明書の属性に基づいてユーザーが認証されます認証が正常に完了すると証明書からユーザー名またはユーザーのユーザーおよびグループ名が抽出されそのユーザーに指定されたポリシーが適されます



Citrix Gateway 130


March 26 2020

クライアント証明書認証ポリシーを作成し仮想サーバーにバインドできますこのポリシーを使して特定のグループまたはユーザーへのアクセスを制限できますこのポリシーはグローバルポリシーよりも優先されます

クライアント証明書の認証ポリシーを構成するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で[ CERT]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [ Name ]フィールドにポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にプロファイルの名前をします7 [ 2係数]の横の [ OFF]を選択します8 [ユーザー名]フィールドと [グループ名]フィールドで値を選択し[作成]をクリックします注クライアント証明書をデフォルトの認証タイプとして設定した場合はポリシーに使したものと同じ名前を使しますデフォルトの認証タイプの [User Name]フィールドと [Group Name]フィールドにした場合はプロファイルにも同じ値を使します


クライアント証明書ポリシーを仮想サーバにバインドするには次の順を実します

クライアント証明書の認証ポリシーを構成したらそれを仮想サーバーにバインドできます


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［認証］タブをクリックします4 [プライマリ]または [セカンダリ]をクリックします5 [詳細]の [ポリシーの挿]をクリックします6 [ポリシー名]でポリシーを選択し[ OK]をクリックします

クライアント証明書を要求するように仮想サーバーを構成するには次の順を実します

認証にクライアント証明書を使する場合はSSLハンドシェイク中にクライアント証明書が要求されるように仮想サーバーを構成する必要があります


2 詳細ウィンドウで[仮想サーバー]をクリックし[開く]をクリックします


Citrix Gateway 130

3 [証明書]タブで[ SSLパラメーター]をクリックします4 [その他]の [クライアント認証]をクリックします5 [クライアント証明書]で[オプション]または [必須]を選択し[OK]を 2回クリックします同じ仮想サーバー上で他の認証タイプを許可しクライアント証明書を使する必要がない場合は[オプション]を選択します

注

bull コールバック URLの詳細についてはCitrix Gatewayのインポートを参照してくださいbull 証明書について詳しくは「証明書のインストールリンクおよび更新」を参照してください


2要素クライアント証明書認証の設定

March 26 2020

最初にユーザーを認証するようにクライアント証明書を構成し次に LDAPや RADIUSなどのセカンダリ認証タイプを使してログオンするようにユーザーに要求できますこのシナリオではクライアント証明書が最初にユーザーを認証しますその後ユーザー名とパスワードをできるログオンページが表されますSSL (セキュアソケットレイヤー)ハンドシェイクが完了するとログオンシーケンスは次の 2つのパスのいずれかを使できます

bull ユーザー名もグループも証明書から抽出されませんログオンページが表され有効なログオン資格情報のを求めるプロンプトが表されますCitrix Gatewayは通常のパスワード認証の場合と同様にユーザー資格情報を認証します

bull クライアント証明書からユーザー名とグループ名が抽出されますユーザー名のみが抽出されるとログオン名が存在するユーザーにはログオンページが表されユーザーは名前を変更できませんパスワードフィールドのみが空です

認証の第 2ラウンド中に Citrix Gatewayが抽出するグループ情報はCitrix Gatewayが証明書から抽出したグループ情報（存在する場合）に追加されます



April 9 2020

暗号化スマートカードを使してユーザーを認証するようにCitrix Gatewayを構成できます


Citrix Gateway 130

Citrix Gatewayで動作するようにスマートカードを構成するには次の操作をう必要があります

bull 証明書認証ポリシーを作成します詳しくは「クライアント証明書認証の構成」を参照してください

bull 認証ポリシーを仮想サーバーにバインドします

bull クライアント証明書を発する認証局（CA）のルート証明書を Citrix Gateway に追加します詳しくは「Citrix Gatewayにルート証明書をインストールするには」を参照してください

重要スマートカード認証にルート証明書を仮想サーバーに追加する場合は次の図にすように[CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります図 1スマートカード認証のルート証明書の追加

クライアント証明書を作成したらフラッシュと呼ばれる証明書をスマートカードに書き込むことができますこの順を完了するとスマートカードをテストできます

スマートカードパススルー認証にWeb Interfaceを構成する場合次のいずれかの条件が存在する場合WebInterfaceへのシングルサインオンは失敗します

bull [公開アプリケーション]タブでドメインをmydomainではなくmydomaincomとして設定した場合bull [公開アプリケーション]タブでドメイン名を設定せずwi-sso-split-upnコマンドを実する場合は値を 1に設定しますこの例ではユーザープリンシパル名にはドメイン名 ldquomydomaincomrdquoが含まれています

スマートカード認証を使してユーザーのログオンプロセスを合理化すると同時にインフラストラクチャへのユーザーアクセスのセキュリティを強化できます社内ネットワークへのアクセスは公開キーのインフラストラクチャを使した証明書ベースの 2要素認証によって保護されます秘密キーはハードウェアで保護されるためスマートカードの外に漏れることはありませんユーザーはスマートカードと PINを使してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります

スマートカードはCitrix Virtual Apps and Desktopsで提供されるデスクトップとアプリケーションのユーザー認証を StoreFront経由でうために使できますStoreFrontにログオンしているスマートカードユーザーはCitrix Endpoint Managementが提供するアプリケーションにもアクセスできますただしクライアント証明書認証を使する Endpoint Management Webアプリケーションにアクセスするには再度認証する必要があります

詳しくはStoreFrontのドキュメントの「スマートカード認証の構成」を参照してください

セキュア ICA接続によるスマートカード認証の構成

Citrix Gatewayでシングルサインオンが構成されたスマートカードを使してログオンし安全な ICA接続を確するユーザーはログオン時と公開リソースの起動時に個識別番号（PIN）のを求めるプロンプトが表されることがありますこの状況はWebブラウザーと Citrix Workspaceアプリがクライアント証明書を使するように構成されている同じ仮想サーバーを使している場合に発しますCitrix WorkspaceアプリはWebブラウザーとプロセスまたは SSL（セキュアソケットレイヤー）接続を共有しませんしたがってICA接続で CitrixGatewayとの SSLハンドシェイクが完了するとクライアント証明書が 2回必要です


Citrix Gateway 130

ユーザーに 2番の PINプロンプトが表されないようにするには次の 2つの設定を変更する必要があります

bull VPN仮想サーバ上のクライアント認証を無効にする必要がありますbull SSL再ネゴシエーションを有効にする必要があります

仮想サーバを構成したらWeb Interface 53での Citrix Gateway設定の構成の説明に従って1つ以上の STAサーバを仮想サーバにバインドします

スマートカード認証をテストすることもできます

クライアント認証を無効にする順は次のとおりです


2 メインの詳細ペインで関連する仮想サーバーを選択し[編集]をクリックします3 [詳細オプション]ウィンドウで[SSLパラメータ]をクリックします4 [クライアント認証]チェックボックスをオフにします5［完了］をクリックします

SSL再ネゴシエーションを有効にするには次の順を実します

1 設定ユーティリティを使して[設定]タブから [トラフィック管理]に移動し[SSL]をクリックします2 メインパネルで[SSLの詳細設定の変更]をクリックします3 [SSL再ネゴシエーションの拒否]メニューから [いいえ]を選択します

スマートカード認証をテストするには次の順に従います

1 スマートカードをユーザーデバイスに接続します2 Webブラウザーを開きCitrix Gatewayにログオンします



March 26 2020

国国防総省は識別と認証に共通のアクセスカードを使します

共通アクセスカードを設定するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [サーバー]タブで[追加]をクリックします3 [名前]ボックスに名前をします4 [認証の種類]で[証明書]を選択します5 [ユーザー名フィールド]に「サブジェクト名プリンシパル名」とし[作成]をクリックします


Citrix Gateway 130

6 [ポリシー]タブでこのサーバを使するポリシーを作成しそのポリシーを仮想サーバにバインドします



March 26 2020

1つまたは複数の RADIUSサーバーでユーザーアクセスを認証するように Citrix Gatewayを構成できますRSASecurIDSafeWordまたは Gemalto Protiva製品を使している場合これらの各製品は RADIUSサーバーを使して構成されます

構成によってはネットワークアクセスサーバの IPアドレス (NAS IP)またはネットワークアクセスサーバ識別(NAS ID)の使が必要になる場合がありますRADIUS認証サーバーを使するように Citrix Gatewayを構成する場合は次のガイドラインに従ってください

bull NAS IPの使を有効にした場合アプライアンスはRADIUS接続の確に使される送信元 IPアドレスではなく構成済みの IPアドレスを RADIUSサーバに送信します

bull NAS IDを構成するとアプライアンスは RADIUSサーバーにこの識別を送信しますNAS IDを構成しないとアプライアンスは RADIUSサーバーにホスト名を送信します

bull NAS IPを有効にするとアプライアンスはNAS IPを使して RADIUSサーバーと通信するように構成された NAS IDを無視します

ゲマルトプロティバの設定

Protivaは Gemaltoが開発した強な認証プラットフォームでGemaltoのスマートカード認証の強みを利していますProtivaではユーザー名パスワードおよび Protivaデバイスが成するワンタイムパスワードを使してログオンしますRSA SecurIDと同様に認証要求は Protiva認証サーバーに送信されサーバーはパスワードを検証または拒否しますCitrix Gatewayで動作するように Gemalto Protivaを構成するには以下のガイドラインに従ってください

bull Protivaサーバーをインストールしますbull Microsoft IAS RADIUSサーバーにインターネット認証サーバー (IAS)を拡張する Protiva SASエージェントソフトウェアをインストールしますIASサーバーの IPアドレスとポート番号を書き留めておいてください

bull Citrix Gatewayで RADIUS認証プロファイルを構成しProtivaサーバーの設定をします


Citrix Gateway 130

セーフワードの設定

SafeWord製品ラインはトークンベースのパスコードを使した安全な認証を提供しますユーザーがパスコードをするとSafeWordはすぐにパスコードを無効化し再度使することはできませんSafeWordサーバーを設定する場合は次の情報が必要です

bull Citrix Gatewayの IPアドレスこれはRADIUSサーバクライアント設定で設定した IPアドレスと同じ IPアドレスである必要がありますCitrix Gatewayは内部 IPアドレスを使して RADIUSサーバーと通信します共有シークレットを構成するときは内部 IPアドレスを使します可性を実現するために 2つのアプライアンスを構成する場合は仮想内部 IPアドレスを使します

bull 共有シークレットbull SafeWordサーバーの IPアドレスとポートデフォルトのポート番号は 1812です



March 26 2020

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [RADIUS]をクリックし詳細ウィンドウの [ポリシー]タブで [追加]をクリックします3 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [認証ポリシーの作成]ダイアログボックスの [名前]にサーバーの名前をします7 [サーバー]の [IPアドレス]にRADIUSサーバーの IPアドレスをします8 [ポート]にポートをしますデフォルトは 1812です9 [詳細]の [シークレットキー]と [シークレットキーの確認]にRADIUSサーバーのシークレットをします

10 [NAS ID]に識別番号をし[作成]をクリックします11 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします



Citrix Gateway 130

RADIUS認証プロトコルの選択

March 26 2020

Citrix Gatewayでは次のような複数のプロトコルを使してユーザー認証をうように構成された RADIUSの実装がサポートされています

bull パスワード認証プロトコル (PAP)bull Challenge-Handshake Authentication Protocol (CHAP)bull Microsoft Challenge-Handshake Authentication Protocol (MS-CHAPバージョン 1およびバージョン

2)

Citrix Gatewayの展開が RADIUS認証を使するように構成されていてPAPを使するように RADIUSサーバーが構成されている場合は強な共有シークレットを RADIUSサーバーに割り当てることでユーザー認証を強化できます強な RADIUS共有シークレットは字字数字句読点のランダムなシーケンスで構成され少なくとも 22字です可能であればランダムな字成プログラムを使して RADIUS共有秘密を特定します

RADIUSトラフィックをさらに保護するにはCitrix Gatewayアプライアンスまたは仮想サーバーごとに異なる共有シークレットを割り当てますRADIUSサーバでクライアントを定義する場合各クライアントに個別の共有シークレットを割り当てることもできますその場合はRADIUS認証を使する Citrix Gatewayポリシーを個別に構成する必要があります

RADIUSポリシーを作成するときはポリシーの部として Citrix Gatewayで共有シークレットを構成します


IPアドレス抽出の設定

March 26 2020

RADIUSサーバーから IPアドレスを抽出するように Citrix Gatewayを構成できますユーザが RADIUSサーバで認証されるとサーバはユーザに割り当てられたフレーム IPアドレス（アクセス要求の RADIUSアトリビュート8フレーム IPアドレスとも呼ばれる）を返しますIPアドレス抽出のコンポーネントは次のとおりです

bull リモート RADIUSサーバーがCitrix Gatewayにログオンしているユーザーの内部ネットワークからの IPアドレスを提供できるようにします

bull ベンダーでエンコードされたアトリビュートを含めipaddressタイプを使する任意の RADIUSアトリビュートを設定できます

IPアドレス抽出に RADIUSサーバを設定する場合はベンダー IDとアトリビュートタイプを設定しますベンダー IDとアトリビュートはRADIUSクライアントと RADIUSサーバ間のアソシエーションを作成するために使されます


Citrix Gateway 130

bull RADIUSサーバはベンダー識別（ID）を使してRADIUSサーバで設定された IPアドレスのプールからクライアントに IPアドレスを割り当てることができますベンダー IDは内部ネットワークの IPアドレスを提供する RADIUS応答のアトリビュートです値 0は属性がベンダーエンコードされていないことをします

bull アトリビュートタイプはRADIUS応答のリモート IPアドレスアトリビュートです最値は 1で最値は 255です

般的な設定はRADIUSアトリビュートのフレーム IPアドレスを抽出することですベンダー IDが 0に設定されているか指定されていません属性タイプは 8に設定されています

RADIUSサーバからの IPアドレス抽出を設定するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [RADIUS]をクリックし詳細ウィンドウの [ポリシー]タブで RADIUSポリシーを選択し[開く]をクリックします

3 [認証ポリシーの構成]ダイアログボックスで[サーバー]の横にある [変更]をクリックします4 [詳細]の [グループベンダー ID]に値をします5 [グループ属性の種類]に値をし[OK]を 2回クリックします


RADIUSグループ抽出の設定

March 26 2020

RADIUS許可はグループ抽出と呼ばれる法を使して設定できますグループ抽出を構成するとユーザーをCitrix Gatewayに追加するのではなくRADIUSサーバー上のユーザーを管理できます

RADIUS認可を設定するには認証ポリシーを使しグループベンダー ID（ID）グループアトリビュートタイプグループプレフィクスおよびグループセパレータを設定しますポリシーを構成するときは式を追加しポリシーをグローバルまたは仮想サーバにバインドします

Windowsサーバ 2003での RADIUSの構成

Windows Server 2003で RADIUS認証にMicrosoftインターネット認証サービス（IAS）を使している場合はCitrix Gatewayの構成時に次の情報を提供する必要があります

bull ベンダー IDはIASでしたベンダー固有のコードですbull「タイプ」はベンダーによって割り当てられた属性番号ですbull 属性名はIASで定義した属性名のタイプですデフォルト名は CTXSUserグループ =です


Citrix Gateway 130

IASが RADIUSサーバーにインストールされていない場合はコントロールパネルの [プログラムの追加と削除]からインストールできます詳細についてはWindowsオンラインヘルプを参照してください

IASを構成するにはMicrosoft管理コンソール (MMC)を使してIASのスナップインをインストールしますウィザードに従って次の設定を選択します

bull ローカルコンピュータを選択します

bull [リモートアクセスポリシー]を選択しカスタムポリシーを作成します

bull ポリシーの [Windowsグループ]を選択します

bull 次のいずれかのプロトコルを選択します

ndash Microsoft Challenge-Handshake Authentication Protocolバージョン 2 (MS-CHAP v2)ndash Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)ndash Challenge-Handshake Authentication Protocol (CHAP)ndash 暗号化されていない認証（PAPSPAP）

bull「ベンダー固有の属性」を選択します

ベンダー固有の属性はサーバー上のグループで定義したユーザーと Citrix Gatewayのユーザーを致させる必要がありますこの要件を満たすにはベンダー固有の属性を Citrix Gatewayに送信します[RADIUS]が [Standard]であることを確認します

bull RADIUSのデフォルトは 0ですこの番号はベンダーコードに使します

bull ベンダーが割り当てたアトリビュート番号は 0です

これは「ユーザーグループ」属性に割り当てられた番号です属性は字列形式です

bull 属性形式に [字列]を選択します


Access Gatewayの場合属性値は CTXSUserGroups=グループ名です売上と財務など 2つのグループが定義されている場合属性値は CTXSUserGroups=salesfinanceです各グループはセミコロンで区切ります

bull [ダイヤルインプロファイルの編集]ダイアログボックスの他のすべてのエントリを削除し[ベンダー固有]と表されているエントリを残します

IASでリモートアクセスポリシーを構成した後Citrix Gatewayで RADIUS認証と承認を構成します

RADIUS認証を構成するときはIASサーバーで構成した設定を使します

Windowsサーバー 2008での認証に RADIUSを構成する

Windows Server 2008ではインターネット認証サービス (IAS)に代わるネットワークポリシーサーバー (NPS)を使して RADIUS認証と承認を構成しますサーバーマネージャーを使して役割としてNPSを追加することでNPSをインストールできます


Citrix Gateway 130

NPSをインストールするときにネットワークポリシーサービスを選択しますインストール後[スタート]メニューの [管理サービス]から NPSを起動することでネットワークの RADIUS設定を構成できますNPSを開くとCitrix Gatewayを RADIUSクライアントとして追加しサーバーグループを構成します

RADIUSクライアントを構成するときは次の設定を選択してください

bull ベンダー名として[RADIUS標準]を選択しますbull Citrix Gatewayで同じ共有シークレットを構成する必要があるため共有シークレットを書き留めます

RADIUSグループにはRADIUSサーバの IPアドレスまたはホスト名が必要ですデフォルト設定は変更しないでください

RADIUSクライアントとグループを構成したら次の 2つのポリシーで設定をいます

bull 接続要求ポリシーネットワークサーバーの種類ネットワークポリシーの条件ポリシーの設定などCitrixGateway接続の設定を構成します

bull 拡張認証プロトコル (EAP)認証とベンダー固有の属性を構成するネットワークポリシー

接続要求ポリシーを構成する場合はネットワークサーバーの種類として [未指定]を選択します次に条件として[NASポートタイプ]を選択し値として [仮想 (VPN)]を選択して条件を構成します

ネットワークポリシーを構成するときは次の設定を構成する必要があります

bull ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPNダイヤルアップ)]を選択します

bull EAPの [暗号化認証 (CHAP)]と [暗号化されていない認証 (PAPおよび SPAP)]を選択します

bull ベンダー固有の属性に [RADIUS標準]を選択します

デフォルトの属性番号は 26ですこのアトリビュートはRADIUS認可に使されます

Citrix Gatewayではサーバー上のグループで定義されたユーザーと Citrix Gateway上のユーザーを致させるためにベンダー固有の属性が必要ですこれはベンダー固有の属性を Citrix Gatewayに送信することによってわれます

bull 属性形式として [字列]を選択します


Citrix Gatewayの場合属性値は CTXSUserGroups=グループ名です売上と財務など 2つのグループが定義されている場合属性値は CTXSUserGroups=salesfinanceです各グループはセミコロンで区切ります

bull 区切り記号はセミコロンコロンスペースピリオドなどのグループを区切るための NPSで使した区切り記号です

IASでリモートアクセスポリシーの構成が完了したらCitrix Gatewayで RADIUS認証と承認を構成できます



Citrix Gateway 130

RADIUS認可を設定するには

March 26 2020

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [RADIUS]をクリックします3 [ポリシー]タブで[追加]をクリックします4 [名前]にポリシーの名前をします5 サーバーの下 [+]をクリックします6 [名前]にRADIUSサーバーの名前をします7 [サーバー]にRADIUSサーバーの IPアドレスとポートをします8 [詳細]で[グループベンダー識別]と [グループ属性タイプ]の値をします9 [パスワードのエンコーディング]で認証プロトコルを選択し[作成]をクリックします



RADIUSユーザアカウンティングの設定

March 26 2020

Citrix Gatewayはユーザーセッションの開始および停メッセージを RADIUSアカウンティングサーバーに送信できます各ユーザセッションに送信されるメッセージにはRFC2866で定義されたアトリビュートのサブセットが含まれます表 1にサポートされる属性とそれらが送信される RADIUSアカウンティングメッセージ（RAD_STARTおよび RAD_STOP）のタイプをします表 2にAcct-Terminate-Cause属性に割り当てることができる定義済みの値と対応する Citrix Gatewayイベントをします

表 1 サポートされている RADIUSアトリビュート


User-Name セッションに関連付けられたユーザーの名前

Session-Id NetScalerセッションID

Acct-Session-Time セッション継続時間（秒）


Citrix Gateway 130


Acct-Terminate-Cause アカウント解約の理由（下記参照）

表 2 RADIUS終端の原因

NetScalerのログアウト法 RADIUS終了の原因

LOGOUT_SESSN_TIMEDOUT RAD_TERM_SESSION_TIMEOUT

LOGOUT_SESSN_INITIATEDBYUSER RAD_TERM_USER_REQUEST

LOGOUT_SESSN_KILLEDBYADMIN RAD_TERM_ADMIN_RESET

LOGOUT_SESSN_TLOGIN RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_MAXLICRCHD RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_CLISECCHK_FAILED RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_PREAUTH_CHANGED RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_COOKIE_MISMATCH RAD_TERM_NAS_REQUEST

LOGOUT_SESSS_DHT RAD_TERM_NAS_REQUEST

LOGOUT_SESSS_2FACTOR_FAIL RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_ICALIC RAD_TERM_NAS_REQUEST

LOGOUT_SESSN_INTERNALERR RAD_TERM_NAS_ERROR

そのほか RAD_TERM_NAS_ERROR

RADIUSユーザアカウンティングを設定するにはポリシーのペアを作成する必要があります最初のポリシーはアカウンティングメッセージを送信する RADIUSサーバを指定する RADIUS認証ポリシーです2つはRADIUSアカウンティングポリシーをアクションとして使するセッションポリシーです

RADIUSユーザアカウンティングを設定するには次の作業をう必要があります

1 RADIUSポリシーを作成しRADIUSアカウンティングサーバを定義しますアカウンティングサーバはRADIUS認証に使するサーバと同じサーバにできます

2 RADIUSユーザアカウンティングサーバを指定するアクションとして RADIUSポリシーを使してセッションポリシーを作成します

3 セッションポリシーをグローバルにバインドしてすべてのトラフィックに適するかCitrix Gateway仮想サーバーにバインドしてその仮想サーバーを流れるトラフィックにのみ適します


Citrix Gateway 130

RADIUSポリシーを作成するには


2 [認証]を展開し[RADIUS]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5 [Server]メニューからサーバを選択するか[+]アイコンをクリックしてプロンプトに従って新しい RADIUSサーバを追加します



RADIUSアカウンティングサーバを指定する RADIUSポリシーを設定したら次のようにアクションでこのアカウンティングサーバを適するセッションポリシーを作成します


2「セッション」を選択します3 メインの詳細ペインで[追加]を選択します4 ポリシーの名前をします5 [Action]メニューで [+]アイコンをクリックして新しいセッションアクションを追加します6 セッションアクションの名前をします7 [クライアントエクスペリエンス]タブをクリックします8 [アカウンティングポリシー]メニューで前に作成した RADIUSポリシーを選択します9［作成］をクリックします


セッションポリシーをグローバルにバインドするには


2「セッション」を選択します3 メインの詳細ペインの [操作]メニューから[グローバルバインディング]を選択します4［バインド］をクリックします5 [ポリシー]ウィンドウで前に作成したセッションポリシーを選択し[挿]をクリックします6 [ポリシー]の覧でセッションポリシーの [優先度]エントリをクリックし0〜 64000の値をします7［OK］をクリックします


Citrix Gateway 130

セッションポリシーを Citrix Gateway仮想サーバーにバインドするには

1 構成ユーティリティーのナビゲーションペインで［Citrix Gateway］ノードを展開し［仮想サーバー］を選択します

2 メインの詳細ウィンドウで仮想サーバーを選択し[編集]をクリックします3 [Policies]ペインで[+]アイコンをクリックしてポリシーを選択します4「ポリシーの選択」メニューから「セッション」を選択し「タイプの選択」メニューで「要求」が選択されていることを確認します

5［続］をクリックします6［バインド］をクリックします7 [ポリシー]ウィンドウで前に作成したセッションポリシーを選択し[挿]をクリックします8［OK］をクリックします


SAML認証の構成

March 26 2020

セキュリティーアサーションマークアップ語 (SAML)はIDプロバイダー (IdP)とサービスプロバイダーの間で認証と承認を交換するための XMLベースの標準ですCitrix GatewayはSAML認証をサポートしています

SAML認証を構成するときは次の設定を作成します

bull IdP証明書名IdPの秘密鍵に対応する公開鍵ですbull リダイレクト URLこれは認証 IdPの URLです認証されていないユーザーはこの URLにリダイレクトされます

bull [ユーザフィールド] IdPが SubjectタグのNameIdentifierタグとは異なる形式でユーザー名を送信する場合このフィールドを使してユーザー名を抽出できますこれはオプションの設定です

bull 署名証明書名これはIdPへの認証要求に署名するために使される Citrix Gatewayサーバーの秘密鍵です証明書名を設定しない場合アサーションは署名なしに送信されるか認証要求は拒否されます

bull SAML発者名この値は認証要求が送信されるときに使されます発者フィールドにはアサーションが送信される権限をす意の名前が必要ですこれはオプションのフィールドです

bull デフォルトの認証グループこれはユーザの認証元となる認証サーバ上のグループですbull 2つのファクターこの設定では2要素認証を有効または無効にしますbull 署名されていないアサーションを拒否します有効にすると署名証明書名が構成されていない場合Citrix

Gatewayはユーザー認証を拒否します

Citrix GatewayはHTTP POSTバインディングをサポートしていますこのバインディングでは送信側は必要な情報を持つフォーム動投稿を含む 200 OKでユーザーに応答します具体的にはそのデフォルトフォームに


Citrix Gateway 130

はフォームがリクエストかレスポンスかに応じてSAMLRequestと SAMLResponseという 2つの表フィールドが含まれている必要がありますフォームには RelayStateも含まれていますRelayStateは証明書利者によって処理されない任意の情報を送信するために送信側によって使される状態または情報です証明書利者は送信側が RelayStateとともにアサーションを取得したときに送信側が次に何をすべきかを知るように単に情報を送り返しますRelayStateを暗号化または難読化することをお勧めします

Active Directoryフェデレーションサービス 20の構成

フェデレーションサーバーの役割で使する任意の Windows Server 2008 コンピューターまたは WindowsServer 2012コンピューターでActive Directoryフェデレーションサービス (AD FS) 20を構成できますCitrixGatewayで動作するように AD FSサーバーを構成する場合は証明書利者の信頼ウィザードを使して次のパラメーターを構成する必要があります

Windows Server 2008パラメーター



サーバー 2012のパラメーター


bull AD FSプロファイルAD FSプロファイルを選択します

bull 証明書Citrix Gatewayは暗号化をサポートしていません証明書を選択する必要はありません

bull SAML 20 WebSSOプロトコルのサポートを有効にしますこれによりSAML 20 SSOのサポートが有効になりますCitrix Gateway 仮想サーバーの URL（httpsnetScalervirtualServerNamecomcgisamlauthなど）を指定します

この URLはCitrix Gatewayアプライアンス上のアサーションコンシューマーサービスの URLですこれは定数パラメーターでありCitrix Gatewayはこの URLに対する SAML応答を想定しています

bull 証明書利者の信頼識別「Citrix Gateway」という名前をしますこれは証明書利者を識別するURLですたとえばhttpsnetscalerGatewayvirtualServerNamecomadfsservicestrust


bull 要求ルールを構成します発変換規則を使して LDAP属性の値を構成し「要求として LDAP属性を送信」テンプレートを使できます次に次の情報を含む LDAP設定を構成します

ndash メールアドレスndash sAMAccountName


Citrix Gateway 130

ndash ユーザープリンシパル名 (UPN)ndash memberOf

bull 証明書の署名署名検証証明書を指定するには[中継者のプロパティ]を選択して証明書を追加します

署名証明書が 2048ビット未満の場合は警告メッセージが表されます警告を無視して続できますテスト展開を設定している場合はリレーパーティで証明書失効リスト（CRL）を無効にしますチェックを無効にしないとAD FSは CRLで証明書の検証を試みます

CRL を無効にするには次のコマンドを実しますSet-ADFWRelayingPartyTrust - SigningCertfi-cateRevocatonCheck None-TargetName NetScaler

設定を構成したら中継パーティの信頼ウィザードを完了する前に証明書利者のデータを確認しますCitrixGateway仮想サーバー証明書はhttpsvserverfqdncomcgisamlauthなどのエンドポイント URLで確認します

中継パーティの信頼ウィザードでの設定の構成が完了したら構成された信頼を選択しプロパティを編集します次のことをう必要があります

bull セキュアハッシュアルゴリズムを SHA-1に設定します

注Citrixでは SHA-1のみがサポートされています

bull 暗号化証明書を削除します暗号化されたアサーションはサポートされていません

bull 以下を含む要求ルールを編集します

ndash 変換規則の選択ndash 要求ルールの追加ndash 要求規則テンプレートの選択要求として LDAP属性を送信するndash 名前をつけるndash 属性ストアの選択Active Directoryndash ltActive Directory parametersgtLDAP属性を選択ndash「名前 ID」として「外出要求ルール」を選択します

注属性名 XMLタグはサポートされていません

bull シングルサインオフのログアウト URLを設定します要求ルールは [ログアウト URLの送信]ですカスタムルールは次のようになります

pre codeblock =gt issue(Type = rdquologoutURLrdquo Value = rdquohttpsltadfsfqdncomgtadfslsrdquo Properties[rdquohttpschemasxmlsoaporgws200505identityclaimpropertiesattributenamerdquo] = rdquournoasisnamestcSAML20attrname-formatunspecifiedrdquo)

AD FSの設定を構成したらAD FS署名証明書をダウンロードしCitrix Gatewayで証明書キーを作成しますその後証明書とキーを使してCitrix Gatewayで SAML認証を構成できます


Citrix Gateway 130

SAML 2要素認証の設定

SAMLの 2要素認証を設定できますLDAP認証を使して SAML認証を構成する場合は次のガイドラインに従ってください

bull SAMLがプライマリ認証タイプである場合はLDAPポリシーで認証を無効にしグループ抽出を設定します次にLDAPポリシーをセカンダリ認証タイプとしてバインドします

bull SAML認証ではパスワードは使されずユーザー名のみが使されますまたSAML認証は認証が成功した場合にのみユーザーに通知しますSAML認証が失敗した場合ユーザーには通知されません失敗応答は送信されないためSAMLはカスケードの最後のポリシーか唯のポリシーである必要があります

bull 不透明な字列ではなく実際のユーザー名を構成することをお勧めしますbull SAMLをセカンダリ認証タイプとしてバインドすることはできません


SAML認証を設定するには

March 26 2020


2 ナビゲーションペインで[SAML]をクリックします


4 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします


6 [名前]にサーバープロファイルの名前をします

7「IdP証明書名」で証明書を選択するか「インストール」をクリックしますこれはSAMLサーバーまたはIDPサーバーにインストールされた証明書です

[インストール]をクリックした場合は証明書と秘密キーを追加します詳しくは「証明書のインストールと管理」を参照してください

8「リダイレクト URL」に認証アイデンティティプロバイダ (IdP)の URLをします

SAMLサーバーへのユーザーログオンの URLですこれはCitrix Gatewayが最初の要求をリダイレクトするサーバーです

9「ユーザーフィールド」に抽出するユーザー名をします

10「署名証明書名」で順 9で選択した証明書の秘密キーを選択します


Citrix Gateway 130

これはAAA 仮想 IP アドレスにバインドされる証明書ですSAML 発者名はlbexamplecom やngexamplecomなどユーザーがログオンする完全修飾ドメイン名 (FQDN)です

11「SAML 発者名」にアプライアンスが初期認証（GET）リクエストを送信する負荷分散または CitrixGateway仮想 IPアドレスの FQDNをします

12 [既定の認証グループ]にグループ名をします

13 2ファクタ認証を有効にするには[2ファクタ]で [ON]をクリックします

14 署名なしアサーションを拒否を無効にしますSAMLまたは IDPサーバーが SAML応答に署名している場合にのみこの設定を有効にします




SAML認証を使して Citrix Gatewayにログインする

March 26 2020

SAML認証を使してCitrix VPNクライアントとWorkspaceアプリを使して Citrix Gatewayにログインできますこのプラグインは認証仮想サーバー (nfactor認証)にバインドされた度な SAMLポリシーを通じてSAML認証のみをサポートします

重要 SAMLポリシーが VPN仮想サーバー ( nfactor認証)に直接バインドされている場合プラグインは SAML認証をサポートしません

サポートされているプラットフォームとアプリ

次の表はCitrix Gatewayへのログイン時に SAML認証をサポートするプラットフォームとアプリケーションの覧です


Citrix Gateway バージョン 120ビルド 4116以降

VPNクライアントバージョン 121は 4937以降をビルドしますサポートされているプラットフォームWindows 7Windows 8Windows 81Windows 10


Citrix Gateway 130


Workspaceアプリのバージョン Windows 1808 Mac 1808

度な SAMLポリシーを使した SAML認証の構成

度な SAMLポリシーを使した SAML認証の設定の詳細については「SAML IdPとしての Citrix ADC」を参照してください


SAML認証の認証の改善

March 26 2020

この機能は SAML知識を持つユーザ向けでありこの情報を使するには基本的な認証能が必要ですこの情報を使するには読者が FIPSを理解している必要があります

以下の Citrix ADC機能はSAML 20仕様と互換性のあるサードパーティのアプリケーションサーバーで使できます

bull SAMLサービスプロバイダ (SP)bull SAML IDプロバイダー (IdP)

SPと IdPはクラウドサービス間でシングルサインオン（SSO）を可能にしますSAML SP機能はIdPからのユーザーの要求に対処する法を提供しますIdPはサードパーティのサービスまたは別の Citrix ADCアプライアンスである可能性がありますSAML IdP機能はユーザーのログオンをアサートしSPによって消費される要求を提供するために使されます

SAMLサポートの部としてIdPモジュールと SPモジュールの両がピアに送信されるデータにデジタル署名しますデジタル署名にはSPからの認証要求IdPからのアサーションこれらの 2つのエンティティ間のログアウトメッセージが含まれますデジタル署名はメッセージの信頼性を検証します

SAML SPおよび IdPの現在の実装はパケットエンジンでシグニチャ計算をいますこれらのモジュールはSSL証明書を使してデータに署名しますFIPS準拠の Citrix ADCではSSL証明書の秘密鍵はパケットエンジンまたはユーザー空間では利できないため現在の SAMLモジュールは FIPSハードウェアに対応していません

このドキュメントではシグニチャ計算を FIPSカードにオフロードするメカニズムについて説明します公開鍵が利可能であるため署名の検証はソフトウェアでわれます


Citrix Gateway 130

解決策

SAML機能セットは署名オフロードに SSL APIを使するように拡張されました影響を受ける SAMLサブ機能の詳細についてはdocscitrixcomを参照してください

1 SAML SPポストバインディングmdash認証リクエストの署名

2 SAML IdPポストバインディングmdashアサーション応答両の署名

3 SAML SPシングルログアウトシナリオmdash SPによって開始されたモデルでのログアウト要求の署名と IdPによって開始されたモデルでのログアウト応答の署名

4 SAML SPアーティファクトバインディングmdashアーティファクト解決リクエストの署名

5 SAML SPリダイレクトバインディングmdash認証要求の署名

6 SAML IdPリダイレクトバインディングmdash応答アサーション両の署名

7 SAML SP暗号化のサポートmdashアサーションの復号化

プラットフォーム

APIは FIPSプラットフォームにのみオフロードできます

構成

オフロード設定はFIPSプラットフォーム上で動的に実されます

ただしFIPSハードウェアのユーザー空間では SSL秘密キーを使できないためFIPSハードウェアで SSL証明書を作成する際に若の構成が変更されます

設定情報は次のとおりです

bull add ssl fipsKey fips-key

次にCSRを作成しCAサーバで使して証明書を成する必要がありますその証明書を nsconfigslにコピーできますファイルが fips3certcerであると仮定しましょう

bull add ssl certKey fips-cert -cert fips3certcer -fipsKey fips-key

次にSAML SPモジュールの SAMLアクションでこの証明書を指定する必要があります

bull set samlAction ltnamegt -samlSigningCertName fips-cert

同様にSAML IdPモジュールの samlIdpProfileでこれを使する必要があります

bull set samlidpprofile fipstest ndashsamlIdpCertName fips-cert

初めて上記の fipsキーはありませんFIPSキーがない場合は「httpssupportcitrixcomservletKbServletdownload9539-102-665378NS9000_FIPS_6[1][1]1pdf」の説明に従って作成します


Citrix Gateway 130

bull create ssl fipskey ltfipsKeyNamegt -modulus ltpositive_integergt [-exponent ( 3 | F4 )]

bull create certreq ltreqFileNamegt -fipskeyName ltstringgt


TACACS+認証の設定

April 9 2020

TACACS+サーバを認証に設定できますRADIUS認証と同様にTACACS+は秘密キーIPアドレスおよびポート番号を使しますデフォルトのポート番号は 49です

TACACS+サーバーを使するように Citrix Gatewayを設定するにはサーバーの IPアドレスと TACACS+シークレットを指定しますポートを指定する必要があるのは使しているサーバのポート番号がデフォルトのポート番号である 49以外の場合だけです

ユーザインターフェイスを使して TACACS+認証を設定するには次の順を実します

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ TACACS]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [ Name ]フィールドにポリシーの名前をします5 [ Server ]フィールドの横にある [ Add ]をクリックして新しい TACACSサーバを作成するか[ Edit ]をクリックして既存の TACACSサーバを変更します

6 [名前]フィールドにサーバーの名前をします7 [ IPアドレス]に IPアドレスをします8 [ポート]でデフォルトのポート番号 49を使します9 [ TACACSキー]フィールドにキーをします[ TACACSキーの確認]フィールドに確認のために同じキーをします

10 [詳細]をクリックします11「認証」で「ON」を選択し「作成」をクリックします12 [認証 TACACSポリシーの作成]ダイアログボックスで[式]を選択し[作成]をクリックして[閉じる]を

クリックします

コマンドラインインターフェイスを使して TACACS+認証を設定するには次のコマンドをします

1 add authentication tacacsAction ltnamegt [-serverIP ltip_addr|ipv6_addr|gt][-serverPort ltportgt] [-authTimeout ltpositive_integergt]

2 -tacacsSecret 3


Citrix Gateway 130

4 [-authorization ( ON | OFF )] [-accounting ( ON | OFF )][-auditFailedCmds ( ON | OFF )] [-groupAttrName ltstringgt][-defaultAuthenticationGroup ltstringgt] [-Attribute1 ltstringgt] [-Attribute2 ltstringgt] [-Attribute3 ltstringgt] [-Attribute4 ltstringgt]

5 [-Attribute5 ltstringgt] [-Attribute6 ltstringgt] [-Attribute7 ltstringgt] [-Attribute8 ltstringgt] [-Attribute9 ltstringgt] [-Attribute10 ltstringgt]

6 [-Attribute11 ltstringgt] [-Attribute12 ltstringgt] [-Attribute13 ltstringgt][-Attribute14 ltstringgt] [-Attribute15 ltstringgt] [-Attribute16 ltstringgt]

Citrix Gatewayで TACACS+サーバー設定を構成したらポリシーをバインドしてアクティブにしますポリシーはグローバルサーバレベルまたは仮想サーバレベルでバインドできます認証ポリシーのバインドについて詳しくは「認証ポリシーのバインド」を参照してください


基本設定のクリアTACACS設定をクリアしない

March 26 2020

概要

この拡張機能ではclear configコマンドの実時にRBA（ロールベースアクセス）関連のすべての設定を消去しないことに重点を置いています

現在の clear configコマンドは次の 3つのレベルのいずれかで実されます

bull Basic

bull Extended

bull Full

選択したレベルに基づいてNetScaler構成がクリアされ場出荷時のデフォルトにリセットされます

使するコマンドは次のとおりです

1 clear ns config [-force] ltlevelgt

新しいコマンドはすべての RBA関連設定の削除を許可拒否するノブを追加します


Citrix Gateway 130

新規コマンド

RBA構成のクリア機能について説明します

1 YESNOノブデフォルトYES

管理者はRBA構成を保持するかどうかを決定します

2 クリア設定の基本レベルのみがサポートされています

3 次の設定はクリアされません

bull Addbind system usergroup

bull Add cmd policy

bull TACACSコマンド(add TACACS actionpolicy)

bull Bind system global

注 TACACS関連の設定（actionpolicy）はポリシーがシステムグローバルにバインドされている場合またはクリアされている場合保持されます

CLIの設定

使したコマンド

1 clear config [ ‒ force] ltlevelgt [-RBAconfig]

デフォルトではYESに設定され指定されたレベルに基づいて設定がクリアされます

mdashRBAconfigが NOに設定されている場合RBA関連の設定は保持されます以下が含まれます

bull Add bind system user groupbull Bind system globalbull tacacs関連コマンド (add tacacs actionpolicy))bull Add cmd policy



March 26 2020

Citrix Gatewayでは次の 2種類の多要素認証を構成できます


Citrix Gateway 130

bull 認証の優先度レベルを設定するカスケード認証bull 2つの種類の認証を使してユーザーがログオンする必要がある 2要素認証

複数の認証サーバがある場合は認証ポリシーのプライオリティを設定できます設定した優先度レベルによって認証サーバーがユーザーの資格情報を検証する順序が決まりますプライオリティ番号がさいポリシーは番号のきいポリシーよりも優先されます

2つの異なる認証サーバに対してユーザを認証させることができますたとえばLDAP認証ポリシーと RSA認証ポリシーを設定できますユーザーがログオンすると最初にユーザー名とパスワードで認証されます次に個識別番号 (PIN)と RSAトークンからのコードで認証します



March 26 2020

認証ではポリシーの優先順位付けを使して複数の認証サーバのカスケードを作成できますカスケードを構成するとシステムはカスケードポリシーで定義されている各認証サーバーを経由してユーザーの資格情報を検証します優先順位付けされた認証ポリシーは昇順にカスケードされ1〜 9999の範囲の優先順位値を持つことができますこれらの優先順位はグローバルサーバレベルまたは仮想サーバレベルでポリシーをバインドするときに定義します

認証中にユーザーがログオンすると仮想サーバーが最初にチェックされ次にグローバル認証ポリシーがチェックされますユーザーが仮想サーバとグローバル両の認証ポリシーに属している場合は仮想サーバからのポリシーが最初に適され次にグローバル認証ポリシーが適されますグローバルにバインドされた認証ポリシーをユーザーに受信させる場合はポリシーの優先順位を変更しますグローバル認証ポリシーのプライオリティ番号が 1で仮想サーバにバインドされた認証ポリシーのプライオリティ番号が 2の場合グローバル認証ポリシーが優先されますたとえば仮想サーバに 3つの認証ポリシーをバインドし各ポリシーの優先順位を設定できます

ユーザーがプライマリカスケード内のポリシーに対する認証に失敗した場合またはそのユーザーがプライマリカスケード内のポリシーに対する認証に成功したがセカンダリカスケード内のポリシーに対する認証に失敗した場合認証プロセスは停しユーザーはエラーページにリダイレクトされます

注複数のポリシーを仮想サーバーまたはグローバルにバインドする場合はすべての認証ポリシーに意の優先順位を定義することをお勧めします

グローバル認証ポリシーの優先順位を設定するには



Citrix Gateway 130

2 グローバルにバインドされているポリシーを選択し[アクション]で [グローバルバインディング]をクリックします

3 [認証グローバルポリシーのバインドバインド解除]ダイアログボックスの [優先度]で番号をし[OK]をクリックします




2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [認証]タブをクリックし[プライマリ]または [セカンダリ]をクリックします4 認証ポリシーの横の [優先度]に番号をし[OK]をクリックします


2要素認証の設定

March 26 2020

Citrix Gatewayは2要素認証をサポートしています通常Citrix Gatewayはユーザーの認証時に構成された認証法のいずれかを使してユーザーの認証に成功するとすぐに認証プロセスを停します場合によってはあるサーバーに対してユーザーを認証する必要がありますが別のサーバーからグループを抽出する必要がありますたとえばネットワークが RADIUSサーバに対してユーザーを認証しRSA SecurIDトークン認証も使していてユーザーグループがそのサーバに格納されている場合グループを抽出できるようにそのサーバに対してユーザーを認証する必要がある場合があります

ユーザーが 2つの認証タイプを使して認証されそのうちの 1つがクライアント証明書認証の場合証明書認証ポリシーを 2番の認証法として構成できますたとえばプライマリ認証タイプとして LDAPを使しセカンダリ認証としてクライアント証明書を使しますユーザーはユーザー名とパスワードを使してログオンするとネットワークリソースにアクセスできます

2要素認証を設定する場合認証タイプがプライマリまたはセカンダリのどちらであるかを選択します

2要素認証を構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 [ポリシー]タブで[グローバルバインド]をクリックします


Citrix Gateway 130

3 [認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスで[プライマリ]をクリックします

4 [ポリシーの挿]をクリックします5 [ポリシー名]で認証ポリシーを選択します6 [セカンダリ]をクリックし順 4と 5を繰り返して[OK]をクリックします



March 26 2020

Citrix Gatewayでシングルサインオンと 2要素認証を構成している場合はシングルサインオンに使するパスワードを選択できますたとえばLDAPがプライマリ認証タイプとして設定されRADIUSがセカンダリ認証タイプとして設定されているとしますユーザーがシングルサインオンを必要とするリソースにアクセスするとデフォルトでユーザー名とプライマリパスワードが送信されますセッションプロファイル内のWebアプリケーションへのシングルサインオンに使するパスワードを設定します

シングルサインオンの認証を構成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし次のいずれかの操作をいますbull 新しいプロファイルを作成するには[追加]をクリックしますbull 既存のプロファイルを修正するには[開く]をクリックします

3 [クライアントエクスペリエンス]タブで[資格情報インデックス]の横にある [グローバルに上書き]をクリックし[プライマリ]または [セカンダリ]を選択します

4 これが新しいプロファイルの場合は[作成]をクリックし[閉じる]をクリックします5 既存のプロファイルを修正する場合は[OK]をクリックします


クライアント証明書および LDAP 2要素認証の設定

March 26 2020


Citrix Gateway 130

LDAPでのスマートカード認証を使するなどLDAP認証および承認を伴うセキュアクライアント証明書を使できますユーザーがログオンしクライアント証明書からユーザー名が抽出されますクライアント証明書は認証のプライマリ形式でLDAPはセカンダリ形式ですクライアント証明書の認証はLDAP認証ポリシーよりも優先される必要がありますポリシーの優先順位を設定する場合はLDAP認証ポリシーに割り当てる番号よりもさい番号をクライアント証明書認証ポリシーに割り当てます

クライアント証明書を使するにはWindows Server 2008の証明書サービスなどのエンタープライズ証明機関(CA)がActive Directoryを実しているコンピューターで実されている必要がありますCAを使してクライアント証明書を作成できます

LDAP認証および認可でクライアント証明書を使するにはSSL (Secure Sockets Layer)を使するセキュアな証明書である必要がありますLDAPでセキュアなクライアント証明書を使するにはユーザーデバイスにクライアント証明書をインストールしCitrix Gatewayに対応するルート証明書をインストールします

クライアント証明書を設定する前に次の操作をいます

bull 仮想サーバを作成しますbull LDAPサーバーの LDAP認証ポリシーを作成しますbull LDAPポリシーの式を True値に設定します

LDAPを使してクライアント証明書認証を構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションウィンドウの [認証]で[証明書]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にポリシーの名前をします5 [認証の種類]で[証明書]を選択します6 [サーバー]の横にある [新規]をクリックします7 [名前]にサーバーの名前をし[作成]をクリックします8 [認証サーバーの作成]ダイアログボックスの [名前]にサーバーの名前をします9 [2係数]の横にある [オン]を選択します

10 [ユーザー名]フィールドで[件名CN]を選択し[作成]をクリックします11 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします

証明書認証ポリシーを作成したらポリシーを仮想サーバーにバインドします証明書認証ポリシーをバインドした後LDAP認証ポリシーを仮想サーバーにバインドします

重要 LDAP認証ポリシーを仮想サーバーにバインドする前に証明書認証ポリシーを仮想サーバーにバインドする必要があります


Citrix Gateway 130

Citrix Gatewayにルート証明書をインストールするには

証明書認証ポリシーを作成したらルート証明書を CAから Base64形式でダウンロードしてインストールしコンピュータに保存しますその後ルート証明書を Citrix Gatewayにアップロードできます


2 詳細ペインで［Install］をクリックします3 [証明書-キーペア名]に証明書の名前をします4「証明書ファイル名」で「参照」をクリックしドロップダウンボックスで「アプライアンス」または「ローカル」を選択します

5 ルート証明書に移動し[開く][インストール]の順にクリックします

ルート証明書を仮想サーバーに追加するには

Citrix Gatewayにルート証明書をインストールしたら仮想サーバーの証明書ストアに証明書を追加します

重要スマートカード認証にルート証明書を仮想サーバーに追加する場合は次の図にすように[CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります

図 1ルート証明書を CAとして追加する


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします

3 [証明書]タブの [使可能]で証明書を選択し[追加]の横にあるドロップダウンボックスで [CA]をクリックし[OK]をクリックします

4 順 2を繰り返します

5 [証明書]タブで[SSLパラメーター]をクリックします

6 [その他]で[クライアント認証]を選択します

7 [その他]の [クライアント証明書]の横にある [オプション]を選択し[OK]を 2回クリックします

8 クライアント証明書を構成したらCitrix Gatewayプラグインを使して Citrix Gatewayにログオンして認証をテストします複数の証明書がインストールされている場合は正しい証明書を選択するように求めるプロンプトが表されます証明書を選択するとログオン画が表され証明書から取得した情報がされたユーザー名が表されますパスワードをし[ログイン]をクリックします

ログオン画の [User Name]フィールドに正しいユーザー名が表されない場合はLDAPディレクトリのユーザーアカウントとグループを確認しますCitrix Gatewayで定義されているグループはLDAPディレクトリ内のグループと同じである必要がありますActive Directoryでドメインルートレベルでグループを構成しますドメイ


Citrix Gateway 130

ンルートレベルにない Active Directoryグループを作成するとクライアント証明書の読み取りが不正確になることがあります

ユーザーとグループがドメインのルートレベルでない場合Citrix Gateway のログオンページにはActiveDirectoryで構成されているユーザー名が表されますたとえばActive Directoryに [ユーザー]というフォルダがあり証明書には [CN=ユーザー]と表されますログオンページの [ユーザー名]に [ユーザー]と表されます

グループとユーザーアカウントをルートドメインレベルに移動しない場合はCitrix Gatewayで証明書認証サーバーを構成するときにユーザー名フィールドとグループ名フィールドを空のままにします



March 26 2020

Citrix GatewayはWindowsでのシングルサインオンWebアプリケーション（SharePointなど）ファイル共有Web Interfaceへのシングルサインオンをサポートするように構成できますシングルサインオンはユーザーがアクセスインターフェイスのファイル転送ユーティリティまたは通知領域の Citrix Gatewayアイコンメニューからアクセスできるファイル共有にも適されます

ユーザーがログオンするときにシングルサインオンを構成するとログオン情報をもう度しなくても動的に再びログオンします


Windowsでのシングルサインオンの設定

March 26 2020

ユーザーはデスクトップから Citrix Gatewayプラグインを起動して接続を開きますユーザーがWindowsにログオンしたときに Citrix Gatewayプラグインが動的に起動するように指定するにはシングルサインオンを有効にしますシングルサインオンを構成するとユーザーのWindowsログオン資格情報が Citrix Gatewayに渡され認証がわれますCitrix Gatewayプラグインのシングルサインオンを有効にするとインストールスクリプトや動ドライブマッピングなどのユーザーデバイスでの操作が容易になります

ユーザーデバイスが組織のドメインにログオンしている場合にのみシングルサインオンを有効にしますシングルサインオンが有効でドメインにないデバイスからユーザーが接続している場合ユーザーはログオンするように求められます


Citrix Gateway 130

シングルサインオンをWindowsでグローバルに構成するかセッションポリシーにアタッチされたセッションプロファイルを使して構成します

Windowsでシングルサインオンをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[Windowsでのシングルサインオン]をクリックし[OK]をクリックします

セッションポリシーを使してWindowsでシングルサインオンを構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[Windowsでのシングルサインオン]の横にある [グローバルに上書き][Windowsでのシングルサインオン][OK]の順にクリックします




March 26 2020

Webベース認証を使する内部ネットワーク内のサーバーにシングルサインオンを提供するように Citrix Gatewayを構成できますシングルサインオンを使するとSharePointサイトやWeb InterfaceなどのカスタムホームページにユーザーをリダイレクトできますまたCitrix Gatewayプラグインを使してホームページで構成されたブックマークまたはユーザーがWebブラウザでしたWebアドレスからリソースへのシングルサインオンを構成することもできます

ホームページを SharePointサイトまたはWeb Interfaceにリダイレクトする場合はサイトのWebアドレスを指定しますCitrix Gatewayまたは外部認証サーバーによってユーザーが認証されるとユーザーは指定されたホ


Citrix Gateway 130

ームページにリダイレクトされますユーザクレデンシャルはWebサーバに透過的に渡されますWebサーバーが資格情報を受けれるとユーザーは動的にログオンしますWebサーバがクレデンシャルを拒否するとユーザ名とパスワードを要求する認証プロンプトが表されます




2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]をクリックし





4 [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]の横にある [グローバル上書き][Webアプリケーションへのシングルサインオン][OK]の順にクリックします


シングルサインオンは宛先ポートが HTTPポートとなされるネットワークトラフィックに対してのみ試されますHTTPトラフィックにポート 80以外のポートを使するアプリケーションへのシングルサインオンを許可するにはCitrix Gatewayで 1つ以上のポート番号を追加します複数のポートを有効にできますポートはグローバルに設定されます




4 [HTTPポート]にポート番号をし[追加]をクリックし[OK]を 2回クリックします

追加するポートごとにステップ 4を繰り返すことができます


Citrix Gateway 130

注内部ネットワーク内のWebアプリケーションがパブリック IPアドレスを使している場合シングルサインオンは機能しませんシングルサインオンを有効にするにはクライアントレスアクセスまたは Citrix Gatewayプラグインがユーザーデバイス接続に使されるかどうかに関係なくグローバルポリシー設定の部として分割トンネリングを有効にする必要がありますグローバルレベルで分割トンネリングを有効にできない場合はプライベートアドレス範囲を使する仮想サーバを作成します


LDAPを使したWebアプリケーションへのシングルサインオンの構成

March 26 2020

シングルサインオンを構成しユーザープリンシパル名 (UPN)を使してusernamedomaincomの形式でログオンすると既定ではシングルサインオンが失敗しユーザーは認証を 2回う必要がありますユーザーログオンにこの形式を使する必要がある場合はLDAP認証ポリシーを変更してこの形式のユーザー名を受けれるようにします

Webアプリケーションへのシングルサインオンを構成するには

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 詳細ペインの [ポリシー]タブでLDAPポリシーを選択し[開く]をクリックします3 [認証ポリシーの構成]ダイアログボックスで[サーバー]の横にある [変更]をクリックします4 [接続の設定]の [ベース DN (ユーザーの場所)]に「DC=ドメイン名 DC=com」とします5 [管理者バインドDN]に「LDAPaccountdomainnamecom」としますドメイン名comはドメインの名前です

6 [管理者パスワード]と [管理者パスワードの確認]にパスワードをします7 [その他の設定]の [サーバーログオン名の属性]に「UserPrincipalName」とします8 [グループ属性]にmemberOfとします9「サブ属性名」に「CN」とします

10 [ SSO名の属性]にユーザーがログオンする形式をし[ OK]を 2回クリックしますこの値は[アカウント名]または [ユーザープリンシパル名]のいずれかです



Citrix Gateway 130


April 9 2020

ユーザーが Citrix Virtual Appsを実しているサーバーに接続しSmartAccessを使している場合はサーバーファームに接続するユーザーのシングルサインオンを構成できますセッションポリシーとプロファイルを使して公開アプリケーションへのアクセスを構成する場合はサーバーファームのドメイン名を使します


ドメインへのシングルサインオンを構成するには



4 [セッションプロファイルの構成]ダイアログボックスの [公開アプリケーション]タブの [シングルサインオンドメイン]で [グローバル上書き]をクリックしドメイン名をして [OK]を 2回クリックします

Citrix Virtual Appsで機能する Citrix Gateway構成について詳しくは「Citrix Gatewayと Citrix Virtual Appsand Desktopsの統合」を参照してください



March 26 2020

以下のセクションではCitrix GatewayでのMicrosoft Exchange 2010のシングルサインオン（SSO）の構成について説明しますOutlook Webアクセス (OWA) 2010の SSOは次の条件では動作しません

bull Microsoft Exchange 2010でフォームベースの認証を使しますbull 認証認可および監査トラフィック管理ポリシーを使した仮想サーバのロードバランシング

注

この設定は認証認可および監査トラフィック管理ポリシーを持つロードバランシング仮想サーバに対してだけ機能しますクライアントレス VPNを使した OWA 2010の SSOでは機能しません


Citrix Gateway 130

次の順はCitrix GatewayでMicrosoft Exchange 2010の SSOを構成する前に考慮する必要がある前提条件です

bull SSOフォームのアクションURLはOWA 2010では異なりますトラフィック管理ポリシーを変更する必要があります

bull logonaspx要求で PBackクッキーを設定するには書き換えポリシーが必要です通常のシナリオではクライアントで PBackクッキーを設定し[送信]をクリックします

bull SSOを使している場合logonaspxへの応答が消費されCitrix Gatewayがフォーム要求を成しますクッキーはフォーム送信要求に添付されていません

bull OWAサーバーはフォーム送信要求で PBackクッキーを期待します書き換えポリシーはフォーム送信要求に PBackクッキーをアタッチするために必要です

CLIを使して次の操作を実します

1 認証認可および監査トラフィック管理の設定

add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL rdquoowaauthowardquo-userField username -passwdField password -ssoSuccessRule rdquohttpRESSET_COOKIECOOKIE(rdquocadatardquo)VALUE(rdquocadatardquo)LENGTHGT(70rdquo-responsesize 15000 -submitMethod POST

2 トラフィック管理ポリシーを設定しポリシーをバインドする

bull add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSOAction OWA_Form_SSO_SSOPro

bull add tm trafficPolicy owa2k10_pol rdquoHTTPREQURLCONTAINS(rdquoowaauthlogonaspxrdquo)rdquoOWA_2010_Prof

bull bind tm global -policyName owa2k10_pol -priority 100

CLIを使した設定の書き換え


bull add rewrite action set_pback_cookie insert_after rdquohttpREQCOOKIEVALUE(rdquoOutlookSessionrdquo)rdquordquordquoPBack=0rdquordquo-bypassSafetyCheck YES




Citrix Gateway 130

代替書き換え構成

まれにMicrosoft Outlookが OWAセッションクッキーを発しない可能性がありPbackクッキーも挿されないことがありますこの問題は上記のコマンドを実して書き換え構成を実装した後に発する可能性があります

このようなシナリオを克服し回避策として書き換え設定の代わりに次のコマンドを設定できます


bull add rewrite action set_pback_cookie insert_http_header rdquoCookierdquorsquordquoPBack=0rdquorsquo


bull set rewrite policy set_pback_cookie -action set_pback_cookie



ワンタイムパスワードの使の設定

April 9 2020

トークン暗証番号（PIN）やパスコードなどのワンタイムパスワードを使するように Citrix Gatewayを構成できますユーザーがパスコードまたは PINをすると認証サーバーはただちにワンタイムパスワードを無効にしユーザーは同じ PINまたはパスワードを再できません

ワンタイムパスワードを使する製品には次のものがあります

bull RSA SecurIDbull Imprivata OneSignbull SafeWordbull Gemalto Protivabull Nordic SMS PASSCODE

これらの各製品を使するには内部ネットワークの認証サーバを RADIUSを使するように設定します詳しくは「RADIUS認証の構成」を参照してください

たとえばRSA SecurIDトークンによって提供される RADIUSでワンタイムパスワードを使するように CitrixGateway atewayで認証を構成するとCitrix Gatewayはキャッシュされたパスワードを使してユーザーの再認証を試みますこの再認証はCitrix Gatewayに変更を加えた場合または Citrix Gatewayプラグインと CitrixGatewayの間の接続が中断されてから復元された場合に発します


Citrix Gateway 130

Citrix Workspace アプリを使するように接続を構成しユーザーが RADIUS または LDAP を使して WebInterfaceに接続する場合にも再認証が試されますユーザーがアプリケーションを起動してアプリケーションを使しReceiverに戻って別のアプリケーションを起動するとCitrix Gatewayはキャッシュされた情報を使してユーザーを認証します


RSAセキュリティ ID認証の設定

April 9 2020

RSAACEサーバを RSA SecureID認証に構成する場合は次の順を実する必要があります

次の情報を使して RADIUSクライアントを設定します

bull Citrix Gatewayアプライアンスの名前をしますbull 説明をします (必須ではありません)bull システムの IPアドレスを指定しますbull Citrix Gatewayと RADIUSサーバー間の共有シークレットを指定しますbull メーカーモデルを標準 RADIUSとして設定します

エージェントホスト構成では次の情報が必要です

bull Citrix Gatewayの完全修飾ドメイン名（FQDN）を指定します（仮想サーバーにバインドされた証明書に表されます）FQDNを指定した後Tabキーをクリックすると[ネットワークアドレス]ウィンドウが動的に表されます

FQDNをするとネットワークアドレスが動的に表されます表されない場合はシステムの IPアドレスをします

bull コミュニケーションサーバを使してエージェントタイプを指定します

bull すべてのユーザーまたは Citrix Gateway経由の認証を許可されたユーザーのセットをインポートするように構成します

RADIUSサーバのエージェントホストエントリをまだ設定していない場合は次の情報を含めて作成します

bull RSAサーバの FQDNを指定します

FQDNをするとネットワークアドレスが動的に表されますそうでない場合はRSAサーバの IPアドレスをします

bull エージェントタイプ（RADIUSサーバ）を指定します

RSA RADIUSサーバの構成の詳細については製造元のマニュアルを参照してください


Citrix Gateway 130

RSA SecurIDを構成するには認証プロファイルとポリシーを作成しポリシーをグローバルにバインドするか仮想サーバにバインドしますRSA SecurIDを使するための RADIUSポリシーを作成するにはRADIUS認証の構成を参照してください

認証ポリシーを作成したら仮想サーバーまたはグローバルにバインドします詳しくは「認証ポリシーのバインド」を参照してください


RADIUSを使したパスワードリターンの設定

March 26 2020

ドメインパスワードはトークンが RADIUSサーバから成したワンタイムパスワードに置き換えることができますユーザーが Citrix Gatewayにログオンするとトークンから個識別番号（PIN）とパスコードをしますCitrix Gatewayが認証情報を検証するとRADIUSサーバーはユーザーのWindowsパスワードを CitrixGatewayに返しますCitrix Gatewayはサーバーからの応答を受けれログオン中にユーザーがしたパスコードを使する代わりに返されたパスワードを使してシングルサインオンしますRADIUSによるこのパスワード返却機能を使するとユーザーがWindowsパスワードを呼び戻す必要なくシングルサインオンを構成できます

ユーザーがパスワードリターンを使してログオンするとCitrix Endpoint ManagementStoreFrontWebInterfaceなど内部ネットワークで許可されているすべてのネットワークリソースにアクセスできます

返されたパスワードを使してシングルサインオンを有効にするにはCitrix Gatewayで「パスワードベンダー識別」および「パスワード属性の種類」パラメーターを使してRADIUS認証ポリシーを構成しますこれらの 2つのパラメータはユーザーのWindowsパスワードを Citrix Gatewayに返します

Citrix GatewayはImprivataワンサインをサポートしています Imprivata OneSignの最低限必要なバージョンはサービスパック 3で 40ですImprivata OneSignの既定のパスワードベンダーの識別は 398ですImprivata OneSignの既定のパスワード属性の種類のコードは 5です

RSACiscoMicrosoftなど他の RADIUSサーバを使してパスワードを返すことができますベンダー固有のアトリビュート値のペアでユーザシングルサインオンパスワードを返すように RADIUSサーバを設定する必要がありますCitrix Gateway認証ポリシーではこれらのサーバーの「パスワードベンダー識別」および「パスワード属性の種類」パラメーターを追加する必要があります

ベンダー IDの完全なリストはインターネット割り当て番号局 (IANA)のウェブサイトを参照してくださいたとえばRSAセキュリティのベンダー識別は 2197Microsoftの場合は 311Cisco Systemsの場合は 9ですベンダーがサポートするベンダー固有の属性はベンダーに確認する必要がありますたとえばMicrosoftではベンダー固有の属性の覧をMicrosoftのベンダー固有の RADIUSアトリビュートに公開しています


Citrix Gateway 130

ベンダー固有の属性を選択してベンダーの RADIUSサーバ上のユーザーのシングルサインオンパスワードを格納できますRADIUSサーバー上にユーザーパスワードが保存されているベンダー識別と属性を使してCitrix Gatewayを構成するとRADIUSサーバーに送信されるアクセス要求パケット内の属性の値が要求されますRADIUSサーバが access-acceptパケット内の対応するアトリビュートと値のペアで応答した場合使するRADIUSサーバに関係なくパスワードのリターンが機能します

返されたパスワードを使してシングルサインオンを構成するには次の順に従います

1 構成ユーティリティの［構成］タブで［Citrix Gateway］gt［ポリシー］gt［認証］の順に展開します2 ナビゲーションペインで[RADIUS]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にサーバーの名前をします7 RADIUSサーバの設定を構成します8 [パスワードベンダー識別]にRADIUSサーバーによって返されるベンダー識別をしますこの識別の最値は 1である必要があります

9 [パスワード属性の種類]でベンダー固有の AVPコードに RADIUSサーバから返される属性の種類をします値の範囲は 1〜 255です




March 26 2020

SafeWord製品ラインはトークンベースのパスコードを使して安全な認証を提供するのに役ちますユーザーがパスコードをするとSafeWordによって即座に無効になり再度使できなくなります

Secure Gateway Gateway および Web Interface 展開で Secure Gateway を置き換える場合はAccessGatewayで認証を構成せずWeb Interfaceで受信 HTTPトラフィックに対して SafeWord認証を提供し続けることができます

Access Gatewayは次の製品の SafeWord認証をサポートしています

bull SafeWord 2008bull SafeWord PremierAccessbull SafeWord for Citrixbull SafeWord RemoteAccess


Citrix Gateway 130

SafeWord製品を使して認証するように Access Gatewayを構成するには次の法があります

bull SafeWord PremierAccessの部としてインストールされている RADIUSサーバーを使するように認証を設定し認証を処理できるようにします

bull セーフワードリモートアクセスCitrixセーフワードおよびプレミアアクセス 40のコンポーネントであるセーフワード IASエージェントを使するように認証を構成します

bull Citrix Web Interfaceを使するにはSafeWord Web Interfaceエージェントをインストールします認証は Access Gateway上で構成する必要はなくCitrix Web Interfaceで処理できますこの構成ではプレミアアクセス RADIUSサーバーまたはセーフワード IASエージェントは使されません

SafeWord RADIUSサーバを設定する場合は次の情報が必要です

bull Access Gatewayの IPアドレスRADIUSサーバーでクライアント設定を構成する場合はAccess Gatewayの IPアドレスを使します

bull 共有シークレットbull SafeWordサーバーの IPアドレスとポート



March 26 2020

Protivaは Gemaltoのスマートカード認証の強みを利するために開発された強な認証プラットフォームですProtivaではユーザーは Protivaデバイスによって成されたユーザー名パスワードワンタイムパスワードでログオンしますRSA SecurIDと同様に認証要求は Protiva認証サーバーに送信されパスワードは検証または拒否されます

Gemalto Protivaを Citrix Gatewayと連携するように構成するには以下のガイドラインに従ってください

bull Protivaサーバーをインストールしますbull Microsoft IAS RADIUSサーバーに Protivaインターネット認証サーバー (IAS)エージェントプラグインをインストールしますIASサーバーの IPアドレスとポート番号を書き留めておいてください



March 26 2020


Citrix Gateway 130

はじめに

nFactor認証は認証に関するまったく新しい可能性セットを可能にしますnFactorを使する管理者は仮想サーバーの認証要素を構成するときに認証承認および監査の柔軟性を享受できます

2つのポリシーバンクまたは 2つの要因によって管理者が制限されなくなりました政策銀の数はさまざまなニーズに合わせて拡張することができます前述の要因に基づいてnFactorは認証法を決定します動的ログインフォームと失敗時のアクションはnFactorを使して可能です

注 nFactorはCitrix ADCスタンダードエディションではサポートされていませんこれはCitrix ADCアドバンストエディションと Citrix ADCプレミアムエディションでサポートされています

ユースケース

nFactor認証はユーザプロファイルに基づくダイナミック認証フローを有効にします場合によってはこれらはユーザーにとって直感的な単純なフローになることがありますそれ以外の場合はアクティブディレクトリやその他の認証サーバーのセキュリティ保護と組み合わせることができますGatewayに固有の要件をいくつか次にします

1 動的なユーザ名とパスワードの選択従来Citrixクライアント（ブラウザと Receiverを含む）では最初のパスワードフィールドとしてアクティブディレクトリ（AD）パスワードが使されていました2番のパスワードはワンタイムパスワード (OTP)に予約されていますただしADサーバーを保護するにはOTPを最初に検証する必要がありますnFactorはクライアントの変更を必要とせずにこれをうことができます

2 マルチテナント認証エンドポイント組織によっては証明書ユーザーおよび証明書以外のユーザーに対して異なる Gatewayサーバーを使しますユーザーが分のデバイスを使してログインする場合ユーザーのアクセスレベルは使するデバイスに応じて Citrix ADCによって異なりますGatewayはさまざまな認証ニーズに対応できます

3 グループメンバーシップに基づく認証部の組織では認証要件を決定するために ADサーバーからユーザープロパティを取得します認証要件はユーザーごとに変更することができます

4 認証のコファクタです場合によっては異なるユーザーセットを認証するために異なる認証ポリシーのペアが使されることがありますペアポリシーを指定すると有効な認証が向上します依存ポリシーは1つのフローから作成できますこのようにして独した連のポリシーが独のフローになり効率性が向上し複雑さが軽減されます

認証応答の処理

Citrix Gatewayのコールバック登録は認証応答を処理しますAAAD（認証デーモン）応答と成功失敗エラーダイアログコードはコールバックハンドルに送られます成功失敗エラーダイアログコードはGatewayが適切なアクションを実するように指します


Citrix Gateway 130

クライアントのサポート

次の表に構成の詳細をします

クライアント nFactorサポート認証ポリシーのバインドポイント EPA

Webブラウザーはい認証はい

Citrix Workspaceアプリ

いいえ VPN times

Gatewayプラグインいいえ VPN はい

コマンドライン設定

Gateway仮想サーバには属性として指定された認証仮想サーバが必要ですこれはこのモデルに必要な唯の構成です

1 add authnProfile ltname-of-profilegt -authnVsName ltname-of-auth-vservergt

authnVsNameは認証仮想サーバーの名前ですこの仮想サーバーは度な認証ポリシーで構成する必要がありnFactor認証に使されます

1 add vpn vserver ltnamegt ltserviceTypegt ltIPgt ltPORTgt -authnProfile ltname-of-profilegt

2 set vpn vserver ltnamegt -authnProfile ltname-of-profilegt

ここでauthnProfileは以前に作成された認証プロファイルです

相互運に関する課題

レガシー GatewayクライアントのほとんどはrfWebクライアントに加えてGatewayから送信された応答に基づいてモデル化されていますたとえばvpnindexhtmlに対する 302応答は多くのクライアントで期待されますまたこれらのクライアントは「pwcount」「NSC_CERT」などのさまざまな Gatewayクッキーに依存しています

エンドポイント分析（EPA）

認証認可および監査サブシステムは nFactorの EPAをサポートしていないためGateway仮想サーバが EPAを実しますEPAの後ログイン資格情報は前述の APIを使して認証仮想サーバーに送信されます認証が完了するとGatewayは認証後のプロセスを続しユーザセッションを確します


Citrix Gateway 130

設定ミスに関する考慮事項

Gatewayクライアントはユーザーの資格情報を度だけ送信しますGatewayはログイン要求とともにクライアントから 1つまたは 2つのクレデンシャルを取得しますレガシーモードでは最 2つの要素があります取得したパスワードはこれらの要因に使されますただしnFactorでは構成できるファクタの数は実質的に無制限ですGatewayクライアントから取得したパスワードは設定された要素に対して（設定に従って）再利されますワンタイムパスワード (OTP)を複数回再利しないように注意する必要があります同様に管理者はある要素で再利されたパスワードが実際にその要素に適可能であることを確認する必要があります

Citrixクライアントの定義

この構成オプションはCitrix ADCがブラウザクライアントと Receiverなどのシッククライアントを判断する際に役ちます

管理者はパターンセット ns_vpn_client_userAgentsが提供されすべての Citrixクライアントのパターンを構成できます

同様に「Citrix Receiver」字列を上記のパッチセットにバインドしてユーザーエージェントに「Citrix Receiver」を持つすべての Citrixクライアントを無視します

Gatewayの nFactorの制限

次の条件が存在する場合Gateway認証の nFactorは発しません

1 認証プロファイルはCitrix Gatewayで設定されていません

2 度な認証ポリシーは認証仮想サーバーにバインドされず同じ認証仮想サーバーが authnProfileに記載されています

3 HTTPリクエスト内のユーザーエージェント字列はパッチセット ns_vpn_client_useragentsで構成されたユーザーエージェントと致します

これらの条件が満たされない場合Gatewayにバインドされた従来の認証ポリシーが使されます

ユーザーエージェントまたはその部が前述のパッチセットにバインドされている場合それらのユーザーエージェントからのリクエストは nFactorフローに参加しませんたとえば以下のコマンドはすべてのブラウザの設定を制限します（すべてのブラウザがユーザーエージェント字列に「Mozilla」が含まれていると仮定します）

bind patset ns_vpn_client_useragents Mozilla

LoginSchema

LoginSchema はログオンフォームを論理的に表現したものですXML 語によって定義されていますloginSchemaの構はCitrixの共通フォームプロトコル仕様に準拠しています


Citrix Gateway 130

LoginSchemaは製品の「ビュー」を定義します管理者はフォームのカスタマイズした説明補助テキストなどを提供できますこれにはフォーム体のラベルが含まれますお客様は特定の時点で提されたフォームを説明する成功失敗メッセージを提供できます

ログインスキーマと nFactorの知識が必要です

事前に構築されたログインスキーマファイルは以下のCitrix ADCの場所nsconfignsconfigloginschemaLoginSchemaにありますこれらの事前構築された loginSchemaファイルは般的なユースケースに対応し必要に応じて若のバリエーションに合わせて変更できます

またカスタマイズが少ないほとんどの単要素ユースケースではloginSchema (s)設定は必要ありません

管理者はCitrix ADCが要因を検出できるようにする追加の構成オプションについてドキュメントを確認することをお勧めしますユーザーがクレデンシャルを送信すると管理者は複数のファクタを構成して認証ファクタを柔軟に選択して処理できます

LoginSchemaを使しない要素認証の設定

Citrix ADCは構成に基づいて重要素要件を動的に決定しますユーザーがこれらの資格情報を提すると管理者は仮想サーバーでポリシーの最初のセットを構成できます各ポリシーに対して「nextFactor」を「パススルー」として構成できます「パススルー」とはCitrix ADCが既存の資格情報を使してログオンを処理する必要があることを意味します「パススルー」要素を使することで管理者はプログラムで認証フローを駆動できます詳細についてはnFactor仕様または導ガイドを参照することをお勧めします「多要素 (nFactor)認証」を参照してください

ユーザー名のパスワードの式

ログイン資格情報を処理するには管理者は loginSchema を設定する必要がありますloginSchema のカスタマイズが少ない単ファクタまたは重ファクタの使例では指定された XML 定義は必要ありませんLoginSchemaにはユーザーが提するユーザー名パスワードを変更するために使することができこのような userExpressionと passwdExpressionなどの他のプロパティがありますこれらは度なポリシー式でありユーザーを上書きするために使することもできます

nFactor構成におけるレベルの順

次の図はnFactor構成に関連するレベルの順をしています

GUIの設定

ここでは次のトピックについて説明します


Citrix Gateway 130

bull 仮想サーバーの作成

bull 認証仮想サーバーの作成

bull 認証 CERTプロファイルの作成

bull 認証ポリシーの作成

bull LDAP認証サーバーの追加

bull LDAP認証ポリシーの追加

bull Radius認証サーバーを追加する

bull Radius認証ポリシーの追加

bull 認証ログインスキーマの作成

bull ポリシーラベルの作成


1 Citrix Gateway-gt仮想サーバーに移動します

2 [追加]ボタンをクリックして負荷分散仮想サーバーを作成します

3 次の情報をします


仮想サーバの名前をします Citrix Gateway仮想サーバーの名前ASCIIアルファベットまたはアンダースコア (_)字で始まりASCII英数字アンダースコアハッシュ ()ピリオド ()スペースコロン ()アットマーク ()等しい (=)およびハイフン (-)字のみを含める必要があります仮想サーバの作成後に変更できます次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます（「my server」や「my server」など）

仮想サーバの IPアドレスタイプをしますドロップダウンメニューから [IPアドレス]または [アドレス指定不可]オプションを選択します

仮想サーバの IPアドレスをしますインターネットプロトコルアドレス (IPアドレス)は通信にインターネットプロトコルを使するコンピュータネットワークに参加している各デバイスに割り当てられる数値ラベルです


Citrix Gateway 130


仮想サーバのポート番号をしますポート番号をします

認証プロファイルをします仮想サーバー上の認証プロファイルエンティティこのエンティティを使して多要素（nFactor）認証のための認証承認および監査仮想サーバーに認証をオフロードできます

RDPサーバープロファイルをします仮想サーバーに関連付けられている RDPサーバープロファイルの名前

「最ユーザー数」をしますこの仮想サーバで許可される同時ユーザーセッションの最数この仮想サーバーにログオンできる実際のユーザー数はユーザーライセンスの合計数によって異なります

最ログイン試回数をしますログオンの最試回数

ログイン失敗タイムアウトをしますユーザーが最許容試回数を超えた場合にアカウントがロックされる時間（分）

Windows EPAプラグインのアップグレードをします

Winのプラグインのアップグレード動作を設定するオプション

Linux EPAプラグインのアップグレードにります Linuxのプラグインのアップグレード動作を設定するオプション

MAC EPAプラグインのアップグレードにる Macのプラグインのアップグレード動作を設定するオプション

1回ログインこのオプションはこの仮想サーバーのシームレスなSSOを有効無効にします


Citrix Gateway 130


ICAのみ ONに設定するとユーザーが Citrix Workspaceアプリまたはブラウザーを使してログオンしWihomeパラメーターで指定された Citrix VirtualApps and Desktops環境で構成された公開アプリにアクセスできる基本モードを意味しますユーザーは Citrix Gatewayプラグインを使して接続できずエンドポイントスキャンを構成できませんログインしてアプリにアクセスできるユーザーの数はこのモードでのライセンスによって制限されません-OFFに設定するとユーザーが Citrix Workspaceアプリブラウザーまたは Citrix Gatewayプラグインを使してログオンできる SmartAccessモードを意味します管理者はエンドポイントスキャンをクライアントシステムで実するように設定しその結果を使して公開アプリケーションへのアクセスを制御できますこのモードではクライアントは他のクライアントモード（VPNおよび CVPN）で Gatewayに接続できますログインしてリソースにアクセスできるユーザの数はこのモードの CCUライセンスによって制限されます

認証の有効化 Citrix Gatewayに接続するユーザーの認証を要求します

ダブルホップ Citrix Gatewayアプライアンスをダブルホップ構成で使しますダブルホップ展開では3つのファイアウォールを使して DMZを 2つのステージに分割することにより内部ネットワークのセキュリティをさらに強化できますこのような展開ではDMZに 1つのアプライアンスセキュアネットワークに 1つのアプライアンスを持つことができます


Citrix Gateway 130


ダウン状態フラッシュ仮想サーバーが [DOWN]とマークされている場合は既存の接続を閉じますこれはサーバーがタイムアウトした可能性があることを意味します既存の接続を切断するとリソースが解放され場合によっては負荷分散セットアップの回復が速化されます[DOWN]とマークされている場合接続を安全に閉じることができるサーバーではこの設定を有効にしますトランザクションを完了する必要があるサーバーではDOWN状態フラッシュを有効にしないでください

DTLS このオプションは仮想サーバー上のターンサービスを開始停します

AppFlowログ標準の NetFlowまたは IPFIX情報（フローの開始と終了のタイムスタンプパケットカウントバイトカウントなど）を含む AppFlowレコードをログに記録しますまたHTTP WebアドレスHTTP要求メソッドと応答ステータスコードサーバーの応答時間待機時間などアプリケーションレベルの情報を含むレコードもログに記録します

ICAプロキシセッションの移このオプションはユーザーが別のデバイスからログオンしたときに既存の ICAプロキシセッションを転送するかどうかを決定します

状態仮想サーバーの現在の状態 (UPDOWNBUSYなど)

デバイス証明書の有効化 EPAの部としてデバイス証明書チェックがオンかオフかをします

4 ページの「サーバー証明書なし」セクションを選択します

5 [gt]をクリックしてサーバー証明書を選択します

6 SSL証明書を選択し[選択]ボタンをクリックします


8「使可能な暗号がありません」という警告が表された場合は[ OK]をクリックします


10 [認証]セクションで右上の [ + ]アイコンをクリックします


Citrix Gateway 130


1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-[仮想サーバー]に移動します


3 認証仮想サーバーを作成するには次の基本設定をいます

注意必須フィールドは設定名の右側にでされます

a)新しい認証仮想サーバの名前をします

b) IPアドレスのタイプをします[IPアドレスの種類]は[アドレス指定不可]として構成できます

c) IPアドレスをしますIPアドレスはゼロにできます

d)認証仮想サーバのプロトコルの種類をします

e)仮想サーバが接続を受けれる TCPポートをします

f)認証仮想サーバによって設定された認証クッキーのドメインをします


5 [サーバー証明書なし]をクリックします

6 リストから的のサーバー証明書を選択します

7 的の SSL証明書を選択し[ Select ]ボタンをクリックします

注認証仮想サーバーにはバインドされた証明書は必要ありません

8 サーバー証明書のバインドを設定します

bull SNI処理に使される証明書キーをバインドするには[SNIのサーバ証明書]チェックボックスをオンにします

bull [バインド]ボタンをクリックします

認証 CERTプロファイルの作成

1 セキュリティ-gtCitrix ADCAAA-アプリケーショントラフィック-gtポリシー-gt認証-gt基本ポリシー-gtCERTに移動します

2 [プロファイル]タブを選択し[追加]を選択します

3 次のフィールドにして認証 CERTプロファイルを作成します必須フィールドは設定名の右側にでされます

bull Nameクライアント証明書認証サーバプロファイルの名前（アクション）

bull 2要素mdashこの例では2要素認証オプションは NOOPです


Citrix Gateway 130

bull「ユーザー名フィールド」mdashユーザー名を抽出するクライアント証明書フィールドをします「件名」または「発者」のいずれかに設定する必要があります (両の重引符を含む)

bull グループ名フィールド -グループを抽出するクライアント証明書フィールドをします「件名」または「発者」のいずれかに設定する必要があります (両の重引符を含む)

bull デフォルトの認証グループ -抽出されたグループに加えて認証が成功したときに選択されるデフォルトのグループです


認証ポリシーの作成


2 [追加]ボタンを選択します


a)「名前」mdashアドバンス認証ポリシーの名前をします字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみを含める必要があります認証ポリシーの作成後は変更できません


b)アクションタイプ -認証アクションのタイプをします

c) Action -ポリシーが致した場合に実する認証アクションの名前をします

d) [Log Action ]-要求がこのポリシーに致するときに使するメッセージログアクションの名前をします

e)「式」-Citrix ADCの名前付き規則の名前またはデフォルトの構式をしますこの規則は認証サーバーでユーザーを認証するかどうかをポリシーが決定します

f)「コメント」mdashこのポリシーに関する情報を保持するコメントをします


LDAP認証サーバの追加

1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-gt [ポリシー]-gt [認証]-gt [基本ポリシー]-gt [LDAP]に移動します

2 LDAPサーバを追加するには[サーバ]タブを選択し[追加]ボタンを選択します


Citrix Gateway 130

LDAP認証ポリシーの追加


2 [追加]をクリックして認証ポリシーを追加します










RADIUS認証サーバの追加

1 [セキュリティ]-gt [Citrix ADC AAA]-gt [アプリケーショントラフィック]-gt [ポリシー]-gt [認証]-gt [基本ポリシー]-gt [RADIUS]に移動します

2 サーバを追加するには[サーバ]タブを選択し[追加]ボタンを選択します

3 認証 RADIUSサーバを作成するには次のようにします必須フィールドは設定名の右側にでされます

a) RADIUSアクションの名前をします

b) RADIUSサーバに割り当てられているサーバ名またはサーバの IPアドレスをします

c) RADIUSサーバが接続をリッスンするポート番号をします

d)タイムアウト値を数秒でしますこれはCitrix ADCアプライアンスが RADIUSサーバーからの応答を待機する値です

e) RADIUSサーバーと Citrix ADCアプライアンスの間で共有される秘密キーをします秘密キーはCitrix ADCアプライアンスが RADIUSサーバーと通信できるようにするために必要です


Citrix Gateway 130

f)シークレットキーを確認します


RADIUS認証ポリシーの追加


2 [追加]をクリックして認証ポリシーを作成します










5 認証ポリシーが表されていることを確認します

認証ログインスキーマの作成

1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-[ログインスキーマ]に移動します

2 [プロファイル]タブを選択し[追加]ボタンをクリックします

3 認証ログインスキーマを作成するには次のフィールドにします

a)「名前」をしますこれは新しいログインスキーマの名前です

b)認証スキーマをしますこれはログインページの UIに送信される認証スキーマを読み取るためのファイルの名前ですこのファイルにはログインフォームをレンダリングできるようにするための Citrixフォーム認証プロトコルごとの要素の xml定義が含まれている必要があります管理者がユーザーに追加の資格


Citrix Gateway 130

情報を要求せず以前に取得した資格情報を続する場合は引数として「noschema」を指定できますこれはユーザー定義のファクタで使される loginSchemasにのみ適され仮想サーバのファクタには適されません

c）ユーザー式をしますこれはログイン中にユーザー名を抽出するための式です

d）パスワード式をする-これはログイン時のパスワード抽出の式です

e）ユーザークレデンシャルインデックスをしますこれはユーザーがしたユーザー名がセッションに格納されるインデックスです

f)パスワードクレデンシャルインデックスをしますこれはユーザーがしたパスワードがセッションに格納されるインデックスです

g)認証強度をしますこれは現在の認証の重みです


a) ログインスキーマプロファイルが表されていることを確認します

ポリシーラベルの作成

ポリシーラベルは特定の要素の認証ポリシーを指定します各ポリシーラベルは1つの要素に対応しますポリシーラベルはユーザーに提する必要があるログインフォームを指定しますポリシーラベルは認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります通常ポリシーラベルには特定の認証メカニズムの認証ポリシーが含まれますただし異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使することもできます

1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーラベルに移動します


3 認証ポリシーラベルを作成するには次のフィールドにします

a)新しい認証ポリシーラベルの [Name]をします

b)認証ポリシーラベルに関連付けられたログインスキーマをします

c) [続]をクリックします

4 ドロップダウンメニューから [Policy ]を選択します


6 次のフィールドにします

a)ポリシーバインディングの [ Priority ]をします

b)「Goto Expression」をしますこの式は現在のポリシールールが TRUEと評価された場合に評価される次のポリシーの優先順位を指定します


Citrix Gateway 130




10 認証ポリシーラベルを確認します

nFactor認証の再キャプチャ設定

Citrix ADCリリース 121ビルド 50x以降ではCitrix Gatewayはキャプチャの構成を簡素化する新しいファーストクラスのアクション「captchaAction」をサポートしていますキャプチャはファーストクラスのアクションであるようにそれは独の要因であることができますnFactorフローのどこにでもキャプチャを挿できます

以前はRfWeb UIの変更を含むカスタムWebAuthポリシーを記述する必要がありましたキャプチャーアクションが導されたことでJavaScriptを変更する必要はありません

重要

Captchaがスキーマ内のユーザー名またはパスワードのフィールドと緒に使されている場合Captchaが満たされるまで送信ボタンは無効になります

キャプチャの構成

キャプチャの構成には2つの部分が含まれます

1 キャプチャを登録するための Googleの構成2 ログインフローの部としてキャプチャを使する Citrix ADCアプライアンスの構成

グーグルでキャプチャの設定

httpswwwgooglecomrecaptchaadminlistでキャプチャのドメインを登録します

1 このページに移動すると次の画が表されます

注

reCAPTCHA v2のみを使してくださいにえない reCAPTCHAはまだ技術プレビュー中です

2 ドメインを登録すると「サイトキー」と「秘密キー」が表されます

注

セキュリティ上の理由から「SiteKey」と「SecretKey」はグレー表になっています「SecretKey」は安全に保管する必要があります


Citrix Gateway 130

Citrix ADCアプライアンスでのキャプチャ構成

Citrix ADCアプライアンスのキャプチャ構成は次の 3つの部分に分けることができます

bull キャプチャ画を表するbull Googleサーバーにキャプチャ応答を投稿するbull LDAP構成はユーザーログオンの 2番の要素です (オプション)

キャプチャ画を表する

ログインフォームのカスタマイズはSingleAuthCaptchaxml ログインスキーマを介してわれますこのカスタマイズは認証仮想サーバーで指定されログインフォームをレンダリングするために UI に送信されます組み込みのログインスキーマである SingleAuthCaptchaxml はCitrix ADC アプライアンス上のnsconfigloginSchemaログインスキーマディレクトリにあります

重要

bull ユースケースと異なるスキーマに基づいて既存のスキーマを変更できますたとえばCaptcha係数（ユーザー名やパスワードなし）または Captchaとの重認証だけが必要な場合

bull カスタム変更を実した場合またはファイルの名前を変更した場合はすべての loginSchemaをnsconfigloginschemaディレクトリから親ディレクトリnsconfigloginschemaにコピーすることをお勧めします

CLIを使してキャプチャの表を設定するには

bull add authentication loginSchema singleauthcaptcha -authenticationSchemansconfigloginschemaSingleAuthCaptchaxml

bull add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

bull add authentication vserver auth SSL ltIPgt ltPortgtbull add ssl certkey vserver-cert -cert ltpath-to-cert-filegt -key ltpath-to-key-filegt

bull bind ssl vserver auth -certkey vserver-certbull bind authentication vserver auth -policy singleauthcaptcha -priority 5-gotoPriorityExpression END

Googleサーバーにキャプチャ応答を投稿する

あなたはユーザーに表されなければならないキャプチャを設定した後管理者はブラウザからのキャプチャ応答を確認するためにGoogleサーバーに構成を追加ポスト

ブラウザからキャプチャ応答を確認するには


Citrix Gateway 130

bull add authentication captchaAction myrecaptcha -sitekey ltsitekey-copied-from-googlegt -secretkey ltsecretkey-from-googlegt

bull add authentication policy myrecaptcha -rule true -action myrecaptchabull bind authentication vserver auth -policy myrecaptcha -priority 1

AD認証が必要な場合は次のコマンドが必要ですそれ以外の場合はこの順を無視できます

bull add authentication ldapAction ldap-new -serverIP xxxx -serverPort636 -ldapBase rdquocn=usersdc=aaatmdc=comrdquo-ldapBindDn adminuseraaatmcom-ldapBindDnPassword ltpasswordgt -encrypted -encryptmethod ENCMTHD_3 -

ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeNameCN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup

ldapGroupbull add authenticationpolicy ldap-new -rule true -action ldap-new

LDAP構成はユーザーログオンの 2番の要素です (オプション)

LDAP認証はキャプチャ後にわれ2番の要素に追加します

bull add authentication policylabel second-factorbull bind authentication policylabel second-factor -policy ldap-new -priority

10bull bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

管理者は負荷分散仮想サーバーと Citrix Gatewayアプライアンスのどちらを使してアクセスするかに応じて適切な仮想サーバーを追加する必要がありますロードバランシング仮想サーバが必要な場合は管理者が次のコマンドを設定する必要があります

1 add lb vserver lbtest HTTP ltIPgt ltPortgt -authentication ON -authenticationHost nsspaaatmcomlsquo

nsspaaatmcom mdash認証仮想サーバーに解決します

キャプチャのユーザー検証

前のセクションで説明したすべての順を設定したら以下にす UIのスクリーンショットを確認する必要があります

1 認証仮想サーバーがログインページを読み込むとログオン画が表されますログオンはキャプチャが完了するまで無効になります

2 [私はロボットではありません]オプションを選択しますキャプチャウィジェットが表されます

3 完了ページが表される前に連のキャプチャ画像をナビゲートします


Citrix Gateway 130

4 AD資格情報をし[ロボットではありません]チェックボックスをオンにして [ログオン]をクリックします認証が成功すると的のリソースにリダイレクトされます

注

bull キャプチャが AD認証で使されている場合キャプチャが完了するまで資格情報の送信ボタンは無効になります

bull キャプチャは独の要因で発しますしたがってADのような後続の検証は Captchaのlsquonextfactorrsquoで発する必要があります



March 26 2020

概要

Unified Gateway VisualizerはUnified Gatewayウィザードを使して構成を視覚的に表現しますUnifiedGateway Visualizerは構成の追加と編集およびバックエンドの問題の診断に使されます

Unified Gateway Visualizerには次の情報が表されます|構成 |構成 ||mdash|ndash||事前認証ポリシー |認証ポリシー ||CS仮想サーバ |VPN仮想サーバー ||LB仮想サーバ |XAXDアプリケーション ||ウェブアプリケーション |SaaSアプリ |

Unified Gatewayの導によりエンタープライズアプリケーションまたは SaaSアプリケーションクライアントレスアクセスアプリケーションCitrix Virtual Appsおよびデスクトップリソースへの 1つの URLを介してセキュアなリモートアクセスが可能になります

Unified Gatewayの設定


2 次の画で次の情報があることを確認し[ Get Started]をクリックします

1 - Unified Gateway のパブリック IP アドレス


Citrix Gateway 130

2 - オプションのルート CA証明書を持つサーバー証明書チェーン（ PFXまたは PEM ）

3 - LDAPRADIUSクライアント証明書ベースの認証の詳細 4 - アプリケーションの詳細（ Saasアプリケーションまたは Citrix Virtual

Apps and Desktops サーバーの詳細の URL ）


Unified Gateway構成の仮想サーバを作成します

1 仮想サーバの構成名をします2 Unified Gateway配置のパブリック向の Unified Gateway IPアドレスをします3 ポート番号をしますポート番号の範囲は 1〜 65535です4［続］をクリックします

サーバー証明書を指定するには次の情報をします

1 [既存の証明書を使する]または [証明書のインストール]ラジオボタンを選択します2 ドロップダウンメニューからサーバー証明書を選択します3 [続]ボタンをクリックします

認証を指定するには次の情報をします

1 プルダウンメニューから [プライマリ認証法]を選択します2 [既存のサーバーを使する]または [新しいサーバーの追加]ラジオボタンを選択します3 [続]ボタンをクリックします

1 プルダウンメニューから「ポータルテーマ」を選択します2［続］をクリックします

1「Webアプリケーション」または「Citrix Virtual Appsデスクトップ」ラジオボタンを選択します2［続］をクリックします

Webアプリケーションを指定するには次の情報をします

1 ブックマークのリンクの名前をします

2 VPN URLが表すアプリケーションのタイプを選択します指定できる値は次のとおりです

bull イントラネットアプリケーションbull クライアントレスアクセスbull SaaSbull この Citrix ADC上で事前に構成されたアプリケーション

3 このチェックボックスをオンにするとこのアプリケーションに Unified Gateway URLからアクセスできるようになります

4 ブックマークリンクの URLをします

5 アイコン URLからアイコンファイルを取得するファイルを選択します最は 255です


Citrix Gateway 130





GUIの設定


1 [Unified Gatewayビジュアライザー]アイコンをクリックして構成済みの Gatewayインスタンスにアクセスします

Unified Gatewayのビジュアライザーは次の図のようになります

Unified Gatewayビジュアライザーには事前認証認証およびアプリのセクションがありますvpn仮想サーバに事前認証ポリシーが設定されている場合はUnified Gatewayビジュアライザに事前認証が表されます

Unified Gatewayビジュアライザーはロードバランシングと VPN仮想サーバーの状態をすために分けスキームを使します

彩の説明

サーバーがダウンしていることを意味します

グレー webappsCitrix Virtual Appsが設定されていないことを意味します

緑仮想サーバーですべてが問題ないことを意味します

オレンジ負荷分散仮想サーバーサービスの 1つを意味しますダウンしていますがそれでも正常に機能しています

VPN仮想サーバの詳細

vpn仮想サーバの詳細を取得するには[vpn仮想サーバ]ノードをクリックしますポップアップにはCSルールやすべてのポリシーなどの詳細が表されます

1（+）アイコンをクリックしてvpnエンティティにポリシーを追加します

デフォルトでは次のポリシーがバインドされています

1 構成済みのポリシーの詳細を表するには的のノードをクリックします

VPN仮想サーバー情報の場合ポップアップの VPNタイトルはVPN仮想サーバーの詳細をすスライダーに移動するクリック可能なエンティティです


Citrix Gateway 130

VPNサーバーの詳細をここにします

事前認証ブロック

vpn仮想サーバに事前認証ポリシーが関連付けられている場合Unified Gatewayビジュアライザには PreAuthブロックが表されます[Pre Auth]ブロックはポリシーを表し認証前ポリシーを vpnに追加するオプションを提供します

1 [ + ]をクリックして事前認証ポリシーを追加します

事前認証ポリシーが付けられていない場合このブロックはビューに表されません

認証ブロック

Authブロックにはプライマリポリシーとセカンダリポリシーが覧表されますAuthブロックにはポリシーを追加するためのオプションがあります

1 [プライマリ]ボックスの覧の [ + ]をクリックしてプライマリ認証バインドを追加するか[セカンダリ]ボックスの覧の [+]をクリックしてセカンダリ認証バインドを追加します

1 [プライマリ認証法]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです2 ラジオボタンを選択して既存のサーバーを使するか新しいサーバーを追加するかを指定します3 [ LDAPポリシー名]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです4 [セカンダリ認証法]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです

1 ラジオボタンを選択して既存のサーバーを使するか新しいサーバーを追加するかを指定します2 [ RADIUS ]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです3［続］をクリックします

StoreFrontの追加

XAXDの近くにある [ + ]をクリックすると「XAXD」アプリが追加されます

統合ポイントを選択できますオプションはStoreFrontWIまたはWionNSです［続］をクリックします

1 StoreFrontを構成するには以下のフィールドにします

|フィールド |説明 ||ndash|mdash||StoreFront FQDN|StoreFrontサーバーの FQDNをします最255字例storefrontxendtnet||サイトパス |StoreFrontで既に構成されている Receiver for Webサイトへのパスをします||シングルサインオンドメイン |ユーザー認証のデフォルトドメインをしてください ||ストア名 |STOREFRONTモニタの名前をしますSTORENAMEはStoreFrontサーバーの正常性を調べるために StoreFrontサービスストア名を定義する引数で


Citrix Gateway 130

すストオーフロントモニターに適できます最31| |Secure Ticket Authorityサーバー |Secure Ticket Authority URLをしますこれは通常配信 Controller上に存在します例httpsta||StoreFrontサーバー |StoreFrontサーバーの IPアドレスを ||プロトコル |サーバーで使されるプロトコルをします||ポート |サーバーが使するポートをします||負荷分散 |StoreFrontサーバーの負荷分散構成をします||仮想サーバー | Unified Gateway展開のパブリック IPアドレスをします|


SaaSの追加

1 [ + ]をクリックして SaaSアプリを追加すると[SaaSの追加]ページに移動しますSaaSを設定するには次のフィールドにします必須の情報が必要なフィールドにはが付きます






Webアプリケーションの追加

1 [ + ]をクリックしてWebアプリを追加すると[Webアプリの追加]ページに移動します次のフィールドにしてWebアプリケーションを構成します必須の情報が必要なフィールドにはが付きます




Citrix Gateway 130





Unified Gatewayの URLからアプリケーションにアクセスできる場合はアプリケーションをクリックしてロードバランシングサーバーの詳細にアクセスできます

（+）をクリックして新しいポリシーを追加できますポリシー情報を表するノードをクリックするとバインドされたすべてのポリシーを表できます

LBにバインドされたサービスの数と全体的な状態情報も表されますさらにクリックするとすべてのサービスが覧表されますLBに新しいサービスを追加できます

LBの詳細についてはポップアップのタイトルはクリック可能でLB仮想サーバーの詳細ページに表されます


モバイルタブレットデバイスで RADIUS認証と LDAP認証を使するように CitrixGatewayを構成する

March 26 2020

このセクションではモバイルタブレットデバイスで RADIUS認証をプライマリとして使しLDAP認証をセカンダリとして使するように Citrix Gatewayアプライアンスを構成する法について説明します

「」セクションで説明した設定では他のすべての接続で LDAP2番に RADIUSを使できます

モバイルタブレットデバイスで使するために Citrix Workspaceアプリで 2要素認証を構成する場合はプライマリ認証として RSA SecureID（RADIUS認証）を追加する必要がありますただしReceiverでユーザー名とパスワードパスコードのを求めるプロンプトが表されたらLDAPを最初に設定しRADIUSを 2番の資格情報として設定します管理者の観点からはモバイル構成と較してそれは別の構成です


Citrix Gateway 130

モバイルタブレットデバイスで RADIUS認証をプライマリとして使しLDAP認証をセカンダリとして使するように Citrix Gatewayアプライアンスを構成するには次の順を実します

1 構成ユーティリティでCitrix Gateway∕ポリシー∕認証を選択しモバイルデバイスおよびモバイルデバイスの LDAPおよび RSAの認証ポリシーを作成しますこれはユーザが RADIUS認証をバイパスできるロジック条件を回避するために必要です

2 LDAPの [サーバ]タブで [追加]オプションをクリックした後LDAPサーバの詳細をします

認証サーバーの構成法の詳細については「NetScalerで LDAP認証を構成する法」の「認証サーバーの作成」を参照してください

3 必要な LDAPサーバーを選択してモバイルデバイスの LDAPポリシーを作成します

このポリシーをモバイルデバイスのみにバインドするには次の式を使します

1 lsquoREQHTTPHEADER User-Agent CONTAINS CitrixReceiverlsquo

4 [式エディタ]をクリックしてポリシーを作成します

5 モバイルデバイスの RADIUSポリシーと RADIUSサーバを作成します

(a)［Citrix Gateway］gt［ポリシー］gt［認証］gt［RADIUS］から［RADIUS］オプションに移動します[サーバー]タブの [追加]をクリックします

(b)必要な情報を追加しますRADIUS認証のデフォルトポートは 1812です

(c)このポリシーをモバイルデバイスのみにバインドするには次の式を使します

6 同じ順に従ってモバイルデバイスの LDAPポリシーを作成しますこのポリシーをモバイル以外のデバイスにのみバインドするには次の式を使します


7 モバイルデバイス以外の RADIUSポリシーを作成しますこのポリシーをモバイル以外のデバイスにのみバインドするには次の式を使します


8 Citrix Gateway仮想サーバーのプロパティに移動し「認証」タブをクリックしますプライマリ認証ポリシーでRSA_Mobileポリシーを最上位プライオリティとしてLDAP_NonMobileポリシーをセカンダリプライオリティとして追加します

9 セカンダリ認証ポリシーでLDAP_Mobile ポリシーを最上位プライオリティとして追加し次にRSA_NonMobileポリシーをセカンダリプライオリティとして追加します

セッションポリシーには正しい Single Sign-On資格情報インデックスが必要ですつまりLDAP資格情報である必要がありますモバイルデバイスの場合は[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [セカンダリ]に設定する必要がありますこれは


Citrix Gateway 130

LDAPです

したがって2つのセッションポリシーが必要です1つはモバイルデバイスもう 1つはモバイルデバイスです

（a）モバイルデバイスのセッションポリシーとセッションプロファイルは次のスクリーンショットにすようにえますセッションポリシーを作成するには必要な仮想サーバーに移動し「編集」をクリックしポリシーセクションに移動して「+」記号をクリックします

(b)ドロップダウンから [セッション]オプションを選択します

(c)的のセッションポリシー名をし[+]をクリックして新しいプロファイルを作成しますモバイルデバイスの場合は[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [セカンダリ]に設定する必要がありますこれは LDAPです

(d)モバイルデバイス以外の場合は同じ順に従ってください[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [プライマリ]に設定する必要がありますこれは LDAPです

式は次のように変更する必要があります


(e)モバイル以外のユーザーに新しいプロファイルを作成するには[+]記号をクリックします

1 必要な仮想サーバーのポリシーとプロファイルは次のスクリーンショットのようになります

2 さらにStoreFrontではCitrix Gateway構成で「ログオンの種類」=「ドメインとセキュリティトークン」を使するように設定されています


VPNユーザエクスペリエンスの設定

April 9 2020

ユーザーは以下の法を使してCitrix Gateway経由で組織のネットワークリソースに接続できます

bull ユーザーデバイスにインストールされているすべての Citrixプラグインを含む Citrix Workspaceアプリbull Webブラウザーを使してアプリケーションデスクトップShareFileへのユーザー接続を可能にする

Web Citrix Workspaceアプリbull Secure Hubを使するとユーザーは iOSおよび Androidデバイスから Secure MailWorxWebおよびモバイルアプリにアクセスできます

bull WindowsMac OS Xまたは Linuxの Citrix Gatewayプラグインbull iOSと Androidのための Citrix Gatewayアプリ


Citrix Gateway 130

bull Javaの Citrix Gatewayプラグインbull クライアントレスアクセスユーザーソフトウェアをインストールせずに必要なアクセスをユーザーに提供します

bull Citrix Repeaterプラグインとの相互運性

ユーザーが Citrix GatewayプラグインをインストールしてからCitrix XenApp 65からWindows Server 2008（機能パックと機能パック 2を含む）からCitrix WorkspaceアプリをインストールするとCitrix Virtual Desktops

70以降ではCitrix Workspaceアプリは動的に Citrix Gatewayプラグインを追加しますユーザーはWebブラウザーまたは Citrix Workspaceアプリから Citrix Gatewayプラグインを使して接続できます

SmartAccessはエンドポイント分析スキャンの結果に基づいてユーザーデバイスに許可されるアクセス法を動的に決定しますSmartAccessの詳細については「SmartAccess設定」を参照してください

Citrix GatewayはiOSおよび Androidモバイルデバイスの Citrix Endpoint Management Worxアプリをサポートしています Citrix Gatewayにはマイクロ VPNトンネルを確する iOSモバイルデバイスから CitrixGatewayへの接続を可能にする Secure Browseが含まれていますSecure Hubに接続する AndroidデバイスではMicro VPNトンネルが動的に確されWebおよびモバイルアプリケーションレベルのセキュアな内部ネットワーク内のリソースへのアクセスを提供しますユーザーがWorxアプリで Androidデバイスから接続する場合はCitrix Gatewayで DNS設定を構成する必要があります詳細については「Androidデバイスで DNSサフィックスを使した DNSクエリのサポート」を参照してください


Citrix Gatewayプラグインでのユーザー接続のしくみ

April 9 2020

Citrix Gatewayは次のように動作します

bull ユーザーが VPNトンネルを介してネットワークリソースにアクセスしようとするとCitrix Gatewayプラグインは組織の内部ネットワーク宛てのネットワークトラフィックをすべて暗号化しパケットを CitrixGatewayに転送します

bull Citrix Gatewayは SSLトンネルを終了しプライベートネットワーク宛ての着信トラフィックを受けれトラフィックをプライベートネットワークに転送しますCitrix Gatewayは安全なトンネルを介してリモートコンピュータにトラフィックを送信します

ユーザーがWebアドレスをすると資格情報のとログオンをうログオンページが表されます資格情報が正しい場合Citrix Gatewayはユーザーデバイスとのハンドシェイクを終了します

ユーザーと Access Gatewayの間にプロキシサーバーがある場合はプロキシサーバーと認証のための資格情報を指定できます詳しくは「ユーザ接続のプロキシサポートの有効化」を参照してください


Citrix Gateway 130

Citrix Gatewayプラグインがユーザーデバイスにインストールされます最初の接続後ユーザーがWindowsベースのコンピューターを使してログオンすると通知領域のアイコンを使して接続を確できます


セキュアトンネルの確

March 26 2020

ユーザーが Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに接続するとクライアントソフトウェアはポート 443（または Citrix Gateway上の構成済みポート）を介してセキュアなトンネルを確し認証情報を送信しますトンネルが確されるとCitrix Gatewayは Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに構成情報を送信しますアドレスプールを有効にするとセキュリティ保護対象のネットワークと IPアドレスが記述されます

セキュアな接続を介したプライベートネットワークトラフィックのトンネリング

Citrix Gatewayプラグインが起動しユーザーが認証されると指定されたプライベートネットワーク宛てのネットワークトラフィックがすべてキャプチャされセキュアなトンネルを介して Citrix GatewayにリダイレクトされますCitrix Workspaceアプリが Citrix Gatewayプラグインをサポートしユーザーがログオンしたときにセキュアなトンネルを介して接続を確する必要があります

Secure HubSecure MailおよびWorxWebはマイクロ VPNを使してiOSおよび Androidモバイルデバイスのセキュアなトンネルを確します

Citrix Gatewayはユーザーデバイスが接続するすべてのネットワーク接続を受信しSecure Sockets Layer（SSL）を介して Citrix Gatewayに多重化しますこの場合トラフィックは逆多重化され接続は正しいホストとポートの組み合わせに転送されます

接続は単のアプリケーションアプリケーションのサブセットまたはイントラネット全体に適される管理セキュリティポリシーに従いますリモートユーザが VPN接続を介してアクセスできるリソース（IPアドレスとサブネットペアの範囲）を指定します

Citrix Gatewayプラグインは定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします

bull TCP（すべてのポート）bull UDP（すべてのポート）bull ICMP（タイプ 8および 0-エコー要求応答）

ユーザーデバイス上のローカルアプリケーションからの接続はCitrix Gatewayに安全にトンネリングされターゲットサーバーへの接続が再確されますターゲットサーバーではプライベートネットワーク上のローカル


Citrix Gateway 130

Citrix Gatewayからの接続として認識されるためユーザーデバイスは表になりますこれは逆向ネットワークアドレス変換 (NAT)とも呼ばれますIPアドレスを表にすると送信元ロケーションにセキュリティが追加されます

ローカルではユーザーデバイス上でSYN-ACKPUSHACKFINパケットなどの接続関連トラフィックはすべてCitrix Gatewayプラグインによって再作成されプライベートサーバーから表されます



March 26 2020

Citrix Gatewayプラグインのユーザーは次の図にすように別の組織のファイアウォール内に配置されることがあります

図 12つの内部ファイアウォールを介したユーザーデバイスからの接続

NATファイアウォールはCitrix Gatewayからユーザーデバイスにセキュアなパケットをルーティングできるテーブルを維持します回線指向接続の場合Citrix Gatewayはポートマップされたリバース NAT変換テーブルを維持します逆 NAT変換テーブルを使するとCitrix Gatewayは接続を照合しパケットを正しいポート番号でユーザーデバイスに返送しパケットを正しいアプリケーションに戻すことができます


Citrix Gatewayプラグインのアップグレード制御

March 26 2020

概要

システム管理者はCitrix ADCプラグインのバージョンが Citrix Gatewayのリビジョンと致しない場合の CitrixADCプラグインの動作を制御します新しいオプションはMacWindowsまたはオペレーティングシステムのプラグインのアップグレード動作を制御します

VPNプラグインの場合Citrix ADCユーザーインターフェイスの 2つの場所でアップグレードオプションを設定できます

bull グローバル設定で


Citrix Gateway 130

bull セッションプロファイルレベルで

プラグインの動作

Citrix Gatewayではクライアントの種類ごとに以下の 3つのオプションを使してプラグインのアップグレード動作を制御できます

a[常に表]

エンドユーザーのプラグインのバージョンが Citrix ADCに同梱されているプラグインと致しない場合プラグインは常にアップグレードされますこれはデフォルトの動作ですエンタープライズで複数のプラグインバージョンを実したくない場合はこのオプションを選択します

b エッセンシャル（およびセキュリティ）

プラグインが必要と判断された場合にのみアップグレードされました次の 2つの状況においてはアップグレードが必要と判断されます

bull インストールされているプラグインは現在の Citrix ADCバージョンと互換性がありません

bull インストールされたプラグインは必要なセキュリティ修正のために更新する必要があります

プラグインのアップグレード回数を最限に抑えるがプラグインのセキュリティ更新プログラムを逃したくない場合はこのオプションを選択する必要があります

c[なし]

プラグインはアップグレードされません

VPNプラグインのアップグレードを制御するための CLIパラメータ

Citrix GatewayはWindowsおよびMacオペレーティングシステムの 2種類のプラグイン（EPAと VPN）をサポートしていますセッションレベルで VPNプラグインのアップグレード制御をサポートするためにCitrixGatewayではWindowsinPluginUpgradeとMacPluginUpgradeという 2つのセッションプロファイルパラメーターがサポートされています

これらのパラメータはグローバル仮想サーバグループおよびユーザレベルで使できます各パラメータには常に必須または絶対に設定できますこれらのパラメータの詳細についてはプラグインの動作を参照してください

EPAプラグインのアップグレードを制御するための CLIパラメータ

Citrix GatewayはWindowsおよびMacオペレーティングシステムの EPAプラグインをサポートしています仮想サーバーレベルで EPAプラグインのアップグレード制御をサポートするためにCitrix Gatewayではウィン


Citrix Gateway 130

ドウ EPAプラグインアップグレードとmacEPAプラグインアップグレードという 2つの仮想サーバーパラメーターがサポートされています

パラメーターは仮想サーバーレベルで使できます各パラメータには常に必須または絶対に設定できますこれらのパラメーターの説明についてはプラグインの動作を参照してください

VPN構成

WindowsLinuxMacプラグインの VPN設定については以下の順に従ってください

1［Citrix NetScalergtポリシー］gt［セッション］の順に選択します

2 的のセッションポリシーを選択し[ Edit]をクリックします

3 [ + ]アイコンをクリックします

4 [クライアントエクスペリエンス]タブを選択します

5 これらのダイアログボックスのオプションはアップグレードの動作に影響します

bull 常に

bull 必須

bull なし

既定値は [常時]です

1 各オプションの右側にあるチェックボックスをオンにしますアップグレード動作を適する頻度を選択します

EPA構成

WindowsLinuxAppleプラグインの EPA構成については以下の順に従ってください


2 サーバを選択し[編集]ボタンをクリックします

3鉛筆アイコンをクリックします


5 表されるダイアログボックスはアップグレードの動作に影響します使可能なオプションは次のとおりです

bull 常にbull 必須bull なし


Citrix Gateway 130

要件

bull Windowsの EPAおよび VPNプラグインのバージョンは 11000よりきくする必要があります

bull Mac EPAプラグインのバージョンは 30031よりきくなければなりません

bull Mac VPNプラグインのバージョンは 314 (357)よりきくなければなりません

注 Citrix ADCを 110リリースにアップグレードするとアップグレード制御の構成に関係なく以前のすべての VPN（および EPA）プラグインが最新バージョンにアップグレードされます以降のアップグレードでは上記のアップグレード制御設定を尊重します


Citrix Gatewayで完全な VPNセットアップを構成する

April 9 2020

このセクションではCitrix Gatewayアプライアンスで完全な VPNセットアップを構成する法について説明しますネットワークに関する考慮事項とネットワークの観点から問題を解決するための理想的なアプローチが含まれています

前提条件

bull SSL証明書これはインストールされVPN仮想サーバー（VServer）にバインドする必要があります

ndash CTX109260 - NetScalerアプライアンスでパブリック SSL証明書を成してインストールする法

ndash CTX122521 - NetScalerアプライアンスのデフォルト証明書をアプライアンスのホスト名に致する信頼された CA証明書に置き換える法

ndash Citrixドキュメント-SSLベースの仮想サーバーへの証明書とキーペアのバインド

bull 認証プロファイルこれはCitrix Gatewayで作成され機能する必要があります

ndash 詳細についてはCitrixのドキュメントを参照 -外部ユーザ認証の設定

ndash 詳細についてはチェックリストを参照してくださいAD FSを使してシングルサインオンを実装および管理する

bull ダウンロード Citrixクライアント

bull セッションポリシー（完全な VPN接続を許可する）


Citrix Gateway 130

ユーザーが Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに接続するとクライアントソフトウェアはポート 443（または Citrix Gateway上の構成済みポート）を介してセキュアなトンネルを確し認証情報を送信しますトンネルが確されるとCitrix Gatewayは保護されるネットワークを説明する構成情報を Citrix GatewayプラグインCitrix Secure Hubまたは Citrix Workspaceアプリに送信しますイントラネット IPを有効にした場合この情報には IPアドレスも含まれます


bull 分割トンネリングbull ユーザーの IPアドレス (アドレスプール (イントラネット IP)を含む)bull プロキシサーバーを介した接続bull ユーザーがアクセスを許可するドメインの定義bull タイムアウト設定bull シングルサインオンbull Citrix Gateway経由で接続するユーザーソフトウェアbull モバイルデバイスへのアクセス

ほとんどのユーザーデバイス接続はセッションポリシーの部であるプロファイルを使して構成しますまた認証単位トラフィックおよび認可ポリシーを使してユーザーデバイスの接続設定を定義することもできますまたイントラネットアプリケーションを使して構成することもできます

Citrix Gatewayアプライアンスでの完全な VPNセットアップの構成

Citrix Gatewayアプライアンスで VPNセットアップを構成するには以下の順を実します

1 NetScaler構成ユーティリティから「トラフィック管理」gt「DNS」に移動します

2 次のスクリーンショットにすように[ネームサーバー]ノードを選択しますDNSネームサーバがリストされていることを確認します使できない場合はDNSネームサーバーを追加します

3 Citrix Gateway gt［ポリシー］の順に展開します

4「セッション」ノードを選択します

5 Citrix Gatewayセッションポリシーとプロファイル］ページの［プロファイル］タブを有効にして［追加］をクリックします

Citrix Gatewayセッションプロファイルの構成ダイアログボックスで構成するコンポーネントごとに各コンポーネントの「グローバルオーバーライド」オプションが選択されていることを確認します

6 [クライアントエクスペリエンス]タブをアクティブにします

7 ユーザーが VPNにログインするときにURLを表する場合は[ホームページ]フィールドにイントラネットポータルの URLをしますホームページパラメータが「nohomepagehtml」に設定されている場合ホームページは表されませんプラグインが起動するとブラウザインスタンスが起動し動的に強制終了されます


Citrix Gateway 130

8 [Split Tunnel]リストから的の設定を選択していることを確認します（この設定の詳細については上記を参照してください）

9 FullVPNを使する場合はクライアントレスアクセスリストから OFFを選択します

10 プラグインの [タイプ]リストから [WindowsMac OS X]が選択されていることを確認します

11 必要に応じて「Webアプリケーションへのシングルサインオン」オプションを選択します

12 次のスクリーンショットにすように必要に応じて [クライアントクリーンアッププロンプト]オプションが選択されていることを確認します

13 [セキュリティ]タブをアクティブにします

14 次のスクリーンショットにすように[既定の承認操作]リストから [ALLOW]が選択されていることを確認します

15 [公開アプリケーション]タブをアクティブにします

16［公開アプリケーション］オプションの［ICAプロキシ］リストから［OFF］が選択されていることを確認します



19 Vserverの Citrix Gatewayセッションポリシーとプロファイル］ページの［ポリシー］タブを有効にするか必要に応じて GROUPUSERレベルでセッションポリシーを有効にします

20 次のスクリーンショットにすように必要な式または ns_trueを使してセッションポリシーを作成します

21 セッションポリシーを VPN仮想サーバーにバインドします

Citrix Gateway仮想サーバー］gt［ポリシー］の順に選択しますドロップダウンリストから必要なセッションポリシー（この例では Session_Policy）を選択します

22 分割トンネルが ONに設定されている場合はVPNに接続したときにユーザがアクセスできるようにするイントラネットアプリケーションを設定する必要がありますCitrix Gateway gt［リソース］gt［イントラネットアプリケーション］の順に選択します

23 新しいイントラネットアプリケーションを作成しますWindowsクライアントでの FullVPNの場合は[透過型]を選択します許可するプロトコル（TCPUDPANY）宛先タイプ（IPアドレスとマスクIPアドレスの範囲ホスト名）を選択します

24 次の式を使してiOSおよび Android上の Citrix VPNの新しいポリシーを設定します

25 次の式を使してiOSおよび Android上の Citrix VPNの新しいポリシーを設定しますREQHTTPHEADER User-Agent CONTAINS CitrixVPN ampamp (REQHTTPHEADER User-AgentCONTAINS NSGiOSplugin || REQHTTPHEADER User-Agent CONTAINS Android)


Citrix Gateway 130

26 必要に応じてUSERGROUPVSERVERレベルで作成されたイントラネットアプリケーションをバインドします

追加パラメータ

以下に設定できるパラメータの部とそれぞれの簡単な説明をします

分割トンネル

分割トンネルオフ

分割トンネルがオフに設定されている場合Citrix GatewayプラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャしVPNトンネル経由で Citrix Gatewayに送信しますつまりVPNクライアントはCitrix Gateway VIPを指すクライアント PCからのデフォルトルートを確しますつまり宛先に到達するにはすべてのトラフィックをトンネル経由で送信する必要がありますすべてのトラフィックはトンネルを介して送信されるため認可ポリシーではトラフィックが内部ネットワークリソースへの通過を許可するか拒否するかを決定する必要があります

「off」に設定するとWebサイトへの標準Webトラフィックを含むすべてのトラフィックがトンネルを通過しますこのWebトラフィックを監視および制御することが的である場合はNetScalerを使してこれらの要求を外部プロキシに転送する必要がありますユーザーデバイスは内部ネットワークにアクセスするためにプロキシサーバーを介して接続することもできますCitrix GatewayはHTTPSSLFTPおよび SOCKSプロトコルをサポートしていますユーザー接続のプロキシサポートを有効にするにはCitrix Gatewayでこれらの設定を指定する必要がありますCitrix Gatewayのプロキシサーバーが使する IPアドレスとポートを指定できますプロキシサーバーは内部ネットワークへのすべてのそれ以降の接続のためのフォワードプロキシとして使されます


bull ユーザ接続のプロキシサポートの有効化

bull 分割トンネル OFF

分割トンネルON

分割トンネリングを有効にするとCitrix Gatewayプラグインが Citrix Gatewayに不要なネットワークトラフィックを送信しないようにできます分割トンネルが有効な場合Citrix GatewayプラグインはCitrix Gatewayによって保護されたネットワーク（イントラネットアプリケーション）宛てのトラフィックのみを VPNトンネル経由で送信しますCitrix Gatewayプラグインは保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gatewayに送信しませんCitrix Gatewayプラグインが起動するとCitrix Gatewayからイントラネットアプリケーションのリストを取得しクライアント PCのイントラネットアプリケーションタブで定義された各サブネットのルートを確しますCitrix Gatewayプラグインはユーザーデバイスから送信されたすべてのパケットを調べそのパケット内のアドレスをイントラネットアプリケーション（VPN接続の開始時に作成されたルーティングテーブル）のリストと較しますパケット内の宛先アドレスがイントラネットアプリケーションのいずれか内に


Citrix Gateway 130

ある場合Citrix Gatewayプラグインは VPNトンネルを介して Citrix Gatewayにパケットを送信します宛先アドレスが定義済みのイントラネットアプリケーションにない場合パケットは暗号化されずユーザーデバイスはクライアント PCで最初に定義されたデフォルトのルーティングを使してパケットを適切にルーティングします「分割トンネリングを有効にするとイントラネットアプリケーションはインターセプトされトンネルを介して送信されるネットワークトラフィックを定義します」


bull 分割トンネル ON

リバース分割トンネル



1 構成ユーティリティから［構成］タブ gt［Citrix Gateway］gt［ポリシー］gt［セッション］の順に選択します


3 [クライアントエクスペリエンス]タブで[分割トンネル]の横にある [グローバル上書き]を選択しオプションを選択して [OK]を 2回クリックします



たとえばネットワークリソースへのアクセスを許可する認可ポリシーがあるとします分割トンネリングがONに設定されておりイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックを送信するように構成していないCitrix Gatewayにこのような構成がある場合リソースへのアクセスは許可されますがユーザーはリソースにアクセスできません

認証ポリシーによってネットワークリソースへのアクセスが拒否され分割トンネリングがオンに設定されていてイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合Citrix Gateway atewayプラグインは Citrix Gatewayにトラフィックを送信しますがリソースへのアクセスは拒否されます


Citrix Gateway 130

承認ポリシーの詳細については以下を参照してください

bull 認可の設定

bull 認可ポリシーの設定

bull デフォルトのグローバル認可の設定


1 構成ユーティリティで［構成］タブ gt［Citrix Gateway］gt［リソース］gt［イントラネットアプリケーション］の順に選択します


3 ネットワークアクセスを許可するためのパラメータをし[作成][閉じる]の順にクリックします

VPNユーザーのイントラネット IPを設定しない場合ユーザーは Citrix Gateway VIPにトラフィックを送信しそこから NetScalerが内部 LAN上にあるイントラネットアプリケーションリソースに新しいパケットを構築しますこの新しいパケットはSNIPからイントラネットアプリケーションに向かって発信されますここからイントラネットアプリケーションはパケットを取得して処理しそのパケットの送信元（この場合は SNIP）に返信しようとしますSNIPはパケットを取得し要求をったクライアントに応答を返送します詳細については次のリンクを参照してください

イントラネット IPなし

イントラネット IPが使されている場合ユーザーは Citrix Gateway VIPにトラフィックを送信しそこからNetScalerはクライアント IPをプールから構成された INTRANET IPのいずれかにマップしますNetScalerはイントラネット IPプールを所有するため内部ネットワークではこれらの範囲を使しないでくださいNetScalerはDHCPサーバーの場合と同様に着信 VPN接続にイントラネット IPを割り当てますNetScalerはユーザーがアクセスする LAN上にあるイントラネットアプリケーションへの新しいパケットを構築しますこの新しいパケットはイントラネット IPの 1つからイントラネットアプリケーションに向かって発信されますここからイントラネットアプリケーションはパケットを取得して処理しそのパケットのソース (INTRANET IP)に返信しようとしますこの場合応答パケットを NetScalerに戻す必要がありますNetScalerではイントラネット IPが配置されています（NetScalerはイントラネット IPサブネットを所有しています）このタスクを実するにはネットワーク管理者が INTRANET IPへのルートを設定しSNIPの 1つを指す必要があります（対称トラフィックを避けるためにパケットが最初にNetScalerから出るルートを保持する SNIPにトラフィックを戻すことをお勧めします）


イントラネット IP




Citrix Gateway 130




1 構成ユーティリティで［構成］タブ gt［Citrix Gateway］gt［ポリシー］gt［セッション］を選択します


3 [ネットワーク構成]タブで次のいずれかの操作をいます

bull DNSサーバーを構成するには[DNS仮想サーバー]の横にある [グローバル上書き]をクリックしサーバーを選択して [OK]をクリックします

bull WINSサーバーを構成するには[WINSサーバー IP]の横にある [グローバル上書き]をクリックしIPアドレスをして [OK]をクリックします


ユーザーアクセス式の選択

March 26 2020

ユーザー接続を提供するように Citrix Gatewayを構成するには以下のシナリオを使します

bull Citrix Workspaceアプリを使したユーザー接続Citrix WorkspaceアプリはStoreFrontまたはWebInterfaceと連携してサーバーファーム内の公開アプリケーションまたは仮想デスクトップへのアクセスをユーザーに提供しますCitrix WorkspaceアプリはICAネットワークプロトコルを使してユーザー接続を確するソフトウェアですユーザーはユーザーデバイスに Citrix WorkspaceアプリをインストールしますユーザーがWindowsベースまたは Macベースのコンピューターに Citrix WorkspaceアプリをインストールするとCitrix Workspaceアプリはユーザー接続の Citrix Gatewayプラグインを含むすべてのプラグインをサブサバイサームしますCitrix GatewayはAndroid向け Citrix Workspaceアプリと iOS向け Citrix Workspaceアプリからの接続もサポートしていますユーザーはCitrix EndpointManagementStoreFrontまたはWeb Interfaceを使して仮想デスクトップおよびWindowsベースWebモバイルおよび SaaSアプリケーションに接続できます

bull Secure Hubとのユーザー接続ユーザーはEndpoint Managementで設定されたモバイルWebおよび SaaSアプリケーションに接続できますユーザーはモバイルデバイス（Androidまたは iOS）にSecure HubをインストールしますユーザーはSecure HubにログオンするとWorxMailとWorxWebとEndpoint Managementにインストールした他のモバイルアプリをインストールできますSecure


Citrix Gateway 130

HubSecure MailおよびWorxWebはマイクロ VPNテクノロジーを使して Citrix Gatewayを介して接続を確します

bull Citrix Gateway プラグインをスタンドアロンアプリケーションとして使するユーザー接続CitrixGatewayプラグインはユーザーがユーザーデバイスにダウンロードしてインストールできるソフトウェアですユーザーがプラグインを使してログオンするとユーザーはオフィスにいるかのようにセキュリティで保護されたネットワークのリソースにアクセスできますリソースには電メールサーバーファイル共有イントラネットWebサイトが含まれます

bull クライアントレスアクセスを使したユーザ接続クライアントレスアクセスによりユーザーはユーザーデバイスに Citrix Gatewayプラグインや Citrix Workspaceアプリなどのソフトウェアをインストールしなくても必要なアクセスが可能になりますクライアントレスアクセスではOutlook Web AccessやSharePointなどの限られたWebリソースCitrix Virtual Appsで公開されたアプリケーションCitrixVirtual Apps and Desktopsからの仮想デスクトップアクセスインターフェイスを介してセキュアなネットワーク内のファイル共有に接続できますユーザーはWebブラウザで Citrix GatewayのWebアドレスをして接続し選択ページでクライアントレスアクセスを選択します

bull 事前認証または認証後のスキャンが失敗した場合のユーザー接続このシナリオはアクセスシナリオのフォールバックと呼ばれますアクセスシナリオのフォールバックではユーザーデバイスが最初のエンドポイント分析スキャンに合格しなかった場合にCitrix Workspaceアプリを使してCitrix Gatewayプラグインから StoreFrontまたはWeb Interfaceにフォールバックできます

ユーザーが Citrix Workspaceアプリを使して Citrix Gatewayにログオンすると事前認証スキャンが機能しません認証後のスキャンはCitrix Gatewayが VPNトンネルを確するときに機能します

ユーザーは以下の法で Citrix Gatewayプラグインをダウンロードしてインストールできます

bull Webブラウザーを使して Citrix Gatewayに接続するbull Citrix Gateway接続を受けれるように構成された StoreFrontへの接続bull グループポリシーオブジェクト (GPO)を使してプラグインをインストールするbull Citrix ADCプラグインをMerchandising Serverアップロードする


ユーザーアクセスの Citrix Gatewayプラグインの展開

March 26 2020

Citrix Gatewayにはユーザーアクセスの次のプラグインが付属しています

bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac


Citrix Gateway 130

bull Citrix Gateway plug-in for Java

ユーザーが Citrix Gatewayに初めてログオンするとWebページから Citrix GatewayプラグインをダウンロードしてインストールしますユーザーはWindowsベースのコンピューターの通知領域にある Citrix GatewayアイコンをクリックしてログオンしますMac OS Xコンピュータではユーザーは [Dock]メニューまたは [アプリケーション]メニューからログオンできますCitrix Gatewayを新しいソフトウェアバージョンにアップグレードするとユーザーデバイス上で Citrix Gatewayプラグインが動的に更新されます

Javaの Citrix GatewayプラグインはJavaをサポートする任意のユーザーデバイスで使できますJavaの Citrix Gatewayプラグインはほとんどの TCPベースのアプリケーションをサポートしますがWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインの部の機能のみを提供しますJavaの Citrix Gatewayプラグインを使するとユーザーが定義したネットワークリソースへのアクセスが制限されますJavaプラグインの詳細については[Java Citrix Gatewayプラグインを使した接続]を参照してください(ng-plugin-select-typeng-connect-ng-plugin-java-configure-tskhtml)

Citrix Workspaceアプリアップデーターを使した Citrix Gatewayプラグインの展開

またCitrix Workspaceアプリアップデーターを使してCitrix Gatewayプラグインを展開することもできますユーザーが Citrix Workspaceアプリ Updaterをインストールするとユーザーデバイスにインストールされているすべてのユーザープラグインが Citrix Workspaceアプリに動的に追加されますユーザーはCitrixWorkspaceアプリを使して Citrix GatewayプラグインにログオンしますそのためにはCitrix Workspaceアプリを開きCitrix Gatewayプラグインを右クリックし［ログオン］をクリックしますCitrix Gatewayアプライアンスを新しいバージョンにアップグレードするとCitrix Workspaceアプリ内の Citrix Gatewayプラグインが動的に新しいバージョンにアップグレードされます

MSIインストーラーパッケージを使した Citrix Gatewayプラグインの展開

Citrix GatewayプラグインはMicrosoft Active Directoryインフラストラクチャまたは標準のサードパーティ製MSI展開ツール（Windowsサーバーアップデートサービスなど）を使して展開できますWindowsインストーラーパッケージをサポートするツールを使する場合はMSIファイルをサポートする任意のツールでパッケージを展開できます次に展開ツールを使して適切なユーザーデバイスにソフトウェアを展開してインストールします

元化された展開ツールを使する利点は次のとおりです

bull セキュリティ要件を遵守する能たとえば管理者以外のユーザーのソフトウェアインストール権限を有効にせずにユーザーソフトウェアをインストールできます

bull ソフトウェアのバージョンを管理するソフトウェアの更新バージョンをすべてのユーザーに同時に展開できます

bull 拡張性元化された導戦略は追加のユーザーをサポートするように簡単に拡張できますbull 優れたユーザーエクスペリエンスこのプロセスにユーザーを関与させることなくインストール関連の問題を展開テストおよびトラブルシューティングできます


Citrix Gateway 130

ユーザーソフトウェアのインストールに対する管理制御が優先されユーザーデバイスへのアクセスがすぐに使できる場合はこのオプションをお勧めします

詳しくは「Active Directoryからの Citrix Gatewayプラグインの展開」を参照してください

展開するソフトウェアプラグインの決定

Citrix Gateway環境でユーザーデバイス上にソフトウェアプラグインを必要としない場合はクライアントレスアクセスが提供されているとなされますこのシナリオではユーザーはネットワークリソースにアクセスするのにWebブラウザーのみが必要ですただし部の機能ではユーザーのデバイスにプラグインソフトウェアが必要です


ユーザーの Citrix Gatewayプラグインの選択

March 26 2020

Citrix Gatewayを構成するときにユーザーのログオン法を選択できますユーザーは次のいずれかのプラグインを使してログオンできます

bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac OS Xbull Citrix Gateway plug-in for Java

構成を完了するにはセッションポリシーを作成しポリシーをユーザーグループまたは仮想サーバーにバインドしますまたグローバル設定を構成してプラグインを有効にすることもできますグローバルプロファイルまたはセッションプロファイル内でプラグインの種類としてWindowsMac OS Xまたは Javaのいずれかを選択しますユーザーがログオンするとグローバルに定義されたプラグインまたはセッションプロファイルとポリシーで定義されたプラグインを受け取りますプラグインの種類ごとに個別のプロファイルを作成する必要がありますセッションプロファイルでは「WindowsMac OS X」または「Java」のいずれかを選択できますJavaに CitrixGatewayプラグインを構成する法についてはJava Citrix Gatewayプラグインを使した接続を参照してください

プラグインをグローバルに設定するには




Citrix Gateway 130

3 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [WindowsMac OS X]を選択し[OK]をクリックします

セッションプロファイルでWindowsまたはMac OS Xのプラグインタイプを設定するには


2 次のいずれかをいますbull 新しいセッションポリシーを作成する場合は詳細ウィンドウで [追加]をクリックしますbull 既存のポリシーを変更する場合はポリシーを選択して [開く]をクリックします

3 新しいプロファイルを作成するか既存のプロファイルを修正しますこれをうには次のいずれかの操作をいます


4 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [グローバルにオーバーライド]をクリックし[WindowsMac OS X]を選択します

5 次のいずれかをいますbull 新しいプロファイルを作成する場合は[Create]をクリックしポリシーダイアログボックスで式を設定し[Create]をクリックして[Close]をクリックします

bull 既存のプロファイルを修正する場合は選択後に [OK]を 2回クリックします

Windowsの Citrix Gatewayプラグインの傍受モードを設定するには

Windowsの Citrix Gatewayプラグインを構成する場合は傍受モードを構成して透過モードに設定する必要があります

1 構成ユーティリティで［構成］タブをクリックし［Citrix Gateway］gt［リソース］の順に展開し［イントラネットアプリケーション］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [透明]をクリックします5「プロトコル」で「ANY」を選択します6 [宛先の種類]で[IPアドレス]と [ネットマスク]を選択します7 に IPアドレスをします8 [ネットマスク]にサブネットマスクをし[作成][閉じる]の順にクリックします



Citrix Gateway 130

Windowsの Citrix Gatewayプラグインのインストール

March 26 2020

ユーザーが Citrix Gatewayにログオンするとユーザーデバイスに Citrix Gatewayプラグインをダウンロードしてインストールします

プラグインをインストールするにはユーザーがローカル管理者または Administratorsグループのメンバーである必要がありますこの制限は初回インストールにのみ適されますプラグインのアップグレードには管理者レベルのアクセスは必要ありません

ユーザーが Citrix Gatewayに接続して使できるようにするには次の情報を提供する必要があります

bull Citrix GatewayのWebアドレス（例httpsNetScalerGatewayFQDN）bull エンドポイントリソースとポリシーを構成している場合Citrix Gatewayプラグインを実するためのシステム要件

ユーザーデバイスの構成によっては次の情報も提供する必要があります

bull ユーザーがコンピュータ上でファイアウォールを実する場合アクセスを許可したリソースに対応する IPアドレスとの間のトラフィックがファイアウォールによってブロックされないようにファイアウォール設定を変更する必要がある場合がありますCitrix GatewayプラグインはWindows XPのインターネット接続ファイアウォールとWindows XPのサービスパック 2Windows VistaWindows 7Windows 8またはWindows 81のWindowsファイアウォールを動的に処理します

bull Citrix Gateway接続を介して FTPにトラフィックを送信するユーザーはFTPアプリケーションをパッシブ転送するように設定する必要がありますパッシブ転送とはリモートコンピュータが FTPサーバからリモートコンピュータへのデータ接続を確するのではなくFTPサーバへのデータ接続を確することを意味します

bull 接続全体で Xクライアントアプリケーションを実するユーザーはXManagerなどの Xサーバーを分のコンピューターで実する必要があります

bull Receiver for Windowsまたは Receiver for MacをインストールするユーザーはCitrix Gatewayプラグインを Receiverから起動するかWebブラウザを使して起動できますReceiverまたはWebブラウザを使して Citrix Gatewayプラグインを使してログオンする法についてユーザーに説明します

ユーザーはファイルやアプリケーションを組織のネットワークに対してローカルであるかのように操作するためユーザーを再トレーニングしたりアプリケーションを構成したりする必要はありません

セキュリティで保護された接続を初めて確するにはWebログオンページを使して Citrix GatewayにログオンしますWebアドレスの般的な形式はhttpscompanynamecomですユーザーがログオンするとCitrixGatewayプラグインをダウンロードしてコンピュータにインストールできます

Windowsの Citrix Gatewayプラグインをインストールするには

1 WebブラウザでCitrix GatewayのWebアドレスをします


Citrix Gateway 130

2 ユーザー名とパスワードをし[ログオン]をクリックします3 [ネットワークアクセス]を選択し[ダウンロード]をクリックします4 指に従ってプラグインをインストールします

ダウンロードが完了するとCitrix Gatewayプラグインが接続しWindowsベースのコンピューターの通知領域にメッセージが表されます

ユーザーが Webブラウザーを使せずに Citrix Gatewayプラグインを使して接続できるようにする場合はWindowsベースのコンピューターの通知領域で Citrix Gatewayアイコンを右クリックするか［スタート］メニューからプラグインを起動したときにログオンダイアログボックスを表するようにプラグインを構成できます

Windowsの Citrix Gatewayプラグインのログオンダイアログボックスを構成するには

ログオンダイアログボックスを使するように Citrix Gatewayプラグインを構成するにはこの順を完了するためにユーザーがログオンする必要があります

1 Windows ベースのコンピューターの通知領域で Citrix Gateway のアイコンを右クリックし［CitrixGatewayの構成］をクリックします

2 [プロファイル]タブをクリックし[プロファイルの変更]をクリックします3［オプション］タブで［Citrix Gatewayプラグインを使してログオンする］をクリックします注ユーザーが Receiver内から Citrix Gatewayの構成］ダイアログボックスを開いた場合［オプション］タブは使できません


Active Directoryからの Citrix Gatewayプラグインの展開

March 26 2020

ユーザーデバイスに Citrix Gateway プラグインをインストールするための管理者権限がない場合はActiveDirectoryからユーザーにプラグインを展開できます

この法を使して Citrix Gatewayプラグインを展開する場合インストールプログラムを抽出しグループポリシーを使してプログラムを展開できますこのタイプの展開の般的な順は次のとおりです

bull MSIパッケージを抽出していますbull グループポリシーを使してプラグインを配布するbull 配布ポイントを作成する


Citrix Gateway 130

bull グループポリシーオブジェクトを使して Citrix Gatewayプラグインパッケージを割り当てます注Active Directory からの Citrix Gateway プラグインの配布はWindows XPWindows VistaWindows 7およびWindows 8でのみサポートされています

MSIパッケージは構成ユーティリティまたは CitrixのWebサイトからダウンロードできます

構成ユーティリティから Citrix GatewayプラグインのMSIパッケージをダウンロードするには

1 構成ユーティリティで[ダウンロード]をクリックします

2［Citrix Gatewayプラグイン］で［Windows Citrix Gatewayプラグインのダウンロード］をクリックしnsvpnc_setupexeファイルをWindowsサーバーに保存します

注[ファイルのダウンロード] ダイアログボックスが表されない場合はCtrl キーを押しながら [CitrixGateway Plugin for Windowsをダウンロード]リンクをクリックします

3 コマンドプロンプトでnsvpnc_setupexeを保存したフォルダに移動し次のようにします

setup c

これによりageemsiファイルが抽出されます

4 解凍したファイルをWindowsサーバ上のフォルダに保存します

ファイルを抽出した後Windows Serverのグループポリシーを使してファイルを配布します

配布を開始する前にグループポリシー管理コンソールをWindows Server 2003Windows Server 2008またはWindows Server 2012にインストールします詳細についてはWindowsのオンラインヘルプを参照してください

注グループポリシーを使して Citrix Gatewayプラグインを公開する場合はパッケージをユーザーデバイスに割り当てることをお勧めしますMSIパッケージはデバイスごとにインストールされるように設計されています

ソフトウェアを配布する前にMicrosoftインターネットセキュリティとアクセラレータ (ISA)サーバーなどの公開サーバー上のネットワーク共有に配布ポイントを作成します

配布ポイントを作成するには

1 管理者として公開サーバーにログオンします2 フォルダーを作成し配布パッケージにアクセスする必要があるすべてのアカウントの読み取りアクセス許可を持つネットワーク上で共有します

3 コマンドプロンプトで解凍したファイルを保存するフォルダに移動し「msiexec-a ageemsi」とします


Citrix Gateway 130

4［ネットワークの場所］画で［変更］をクリックしCitrix Gatewayプラグインの管理インストールを作成する共有フォルダーに移動します

5 [OK]をクリックし[インストール]をクリックします

展開したパッケージをネットワーク共有に配置した後Windowsのグループポリシーオブジェクトにパッケージを割り当てます

Citrix Gatewayプラグインを管理ソフトウェアパッケージとして正常に構成するとユーザーデバイスの次回起動時にプラグインが動的にインストールされます

注インストールパッケージがコンピュータに割り当てられている場合ユーザーはコンピュータを再起動する必要があります

インストールが開始されるとCitrix Gatewayプラグインがインストール中であることをすメッセージが表されます


Active Directoryを使した Citrix Gatewayプラグインのアップグレードと削除

March 26 2020

Citrix Gatewayプラグインの各リリースはパッチとしてではなく完全な製品インストールとしてパッケージ化されていますユーザーがログオンしCitrix Gatewayプラグインが新しいバージョンのプラグインを検出するとプラグインは動的にアップグレードされますまたActive Directoryを使してアップグレードするためにCitrix Gatewayプラグインを展開することもできます

これをうにはCitrix Gatewayプラグインの新しい配布ポイントを作成します新しいグループポリシーオブジェクトを作成し新しいバージョンのプラグインを割り当てます次に新しいパッケージと既存のパッケージ間のリンクを作成しますリンクを作成するとCitrix Gatewayプラグインが更新されます

ユーザーデバイスからの Citrix Gatewayプラグインの削除

ユーザーデバイスから Citrix Gatewayプラグインを削除するにはグループポリシーオブジェクトエディターから割り当てられたパッケージを削除します

ユーザーデバイスからプラグインを削除するとプラグインがアンインストール中であることをすメッセージが表されます



Citrix Gateway 130

Active Directoryを使した Citrix Gatewayプラグインのインストールのトラブルシューティング

March 26 2020

ユーザーデバイスの起動時に割り当てられたパッケージのインストールに失敗するとアプリケーションイベントログに次の警告が表されることがあります

ソフトウェアのインストール設定に変更を適できませんでした管理者がグループポリシーのログオンの最適化を有効にしているためソフトウェアのインストールポリシーアプリケーションは次のログオンまで遅れていますエラーは次のとおりですグループポリシーフレームワークは同期フォアグラウンドポリシーの更新で拡張を呼び出す必要があります

このエラーはWindows XPの速ログオン最適化によって発しますWindows XPではグループポリシーオブジェクトの処理を含むすべてのネットワークコンポーネントをオペレーティングシステムが初期化する前にログオンできますポリシーによっては有効にするには複数の再起動が必要になる場合がありますこの問題を解決するにはActive Directoryで速ログオン最適化を無効にします

管理対象ソフトウェアのインストールに関するその他の問題のトラブルシューティングをうにはグループポリシーを使してWindowsインストーラログを有効にすることをお勧めします


Java Citrix Gatewayプラグインを使した接続

March 26 2020

Javaの Citrix GatewayプラグインはJavaをサポートする任意のユーザーデバイスで使できます

注 Javaランタイム環境（JRE）バージョン 142から最新バージョンの JREまで次のオペレーティングシステムおよびWebブラウザが必要です

bull Mac OS Xbull Linuxbull Windows XP（すべてのバージョン）Windows VistaWindows 7Windows 8bull Internet Explorerbull Firefoxbull ウェブブラウザの最新バージョンに Safari 12まで

Java の Citrix Gateway プラグインはほとんどの TCP ベースのアプリケーションをサポートしますがWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインの部の機能のみを


Citrix Gateway 130

提供します

Java Citrix Gatewayプラグインを使するためにユーザーデバイスに対する管理者権限は必要ありませんセキュリティ上の理由から使するユーザーデバイスに関係なく特定の仮想サーバーグループまたはユーザーに対してこのプラグインバージョンを使する必要がある場合があります

ユーザーデバイスに Citrix Gateway wayプラグインをインストールするように Citrix Gatewayを構成するにはセッションポリシーを構成し仮想サーバーグループまたはユーザーにバインドします

ユーザーがWindows 7を実しているコンピューターからログオンした場合Internet Explorerでプロキシサーバーの情報は動的には設定されませんユーザーはWindows 7を実しているコンピューターでプロキシサーバーを動で構成する必要があります

Javaに Citrix Gatewayプラグインを構成するには


2 詳細ウィンドウで[プロファイル]タブをクリックします3 セッションプロファイルを選択し[開く]をクリックします4 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [グローバル上書き]をクリックし

[Java]を選択して [OK]をクリックします

インターセプションモードを設定するには

セッションポリシーを作成したらイントラネットアプリケーションを作成してCitrix Gatewayプラグイン forJavaでログオンするユーザーの傍受モードを定義します


2 詳細ウィンドウで[追加]をクリックします3 [名前]ボックスに名前をします4 [プロキシ]をクリックします5 [宛先 IPアドレス]に IPアドレスをします6 [宛先ポート]にポート番号をします7 [送信元 IPアドレス]に IPアドレスをします8 [ソースポート]にポート番号をし[作成][閉じる]の順にクリックします

送信元 IPアドレスとポート番号を指定しない場合Citrix Gatewayでは IPアドレスに 127001ポートに 0が動的に使されます


Citrix Gateway 130

WindowsベースのコンピュータでのHOSTSファイルの更新

ユーザーがWindows VistaWindows 7またはWindows 8を実しているコンピューターで Javaの CitrixGatewayプラグインを使してログオンするとTCPイントラネットアプリケーションのネットワークトラフィックはトンネリングされませんHOSTSファイルはVistaおよびWindows 7を実しているコンピューターでは動的に更新されませんイントラネットアプリケーションを HOSTSファイルに動で追加する必要があります

Windowsベースのコンピュータではメモ帳などのテキストエディタでHOSTSファイルを編集できますHOSTSファイルをメモ帳で編集する場合は管理者としてメモ帳を実する必要がありますJava Citrix Gatewayプラグインのイントラネットアプリケーションのマッピングエントリを追加しファイルを保存します


Citrix Gatewayプラグインと Citrix Workspaceアプリの統合

April 9 2020

Citrix GatewayはCitrix Workspaceアプリをサポートしていますオーケストレーションされたシステムは次のコンポーネントで構成されています

bull Windows向け Citrix Workspaceアプリ 34以降bull Mac向け Citrix Workspaceアプリbull Android向け Citrix Workspaceアプリbull iOS向け Citrix Workspaceアプリbull StoreFront 21以降bull アプリケーションコントローラー 28以降または Citrix Endpoint Management 10bull シトリックスのWebサイトでホストされている Citrixアップデートサービス

Citrix製品との Citrix Gatewayの互換性について詳しくは「Citrix製品との互換性」を参照してください

ユーザーがアプライアンスにログオンしたときにCitrix Gateway プラグインによって Web ブラウザが開きCitrix WorkspaceアプリホームページにシングルサインオンできるようCitrix Gatewayを構成できますユーザーはホームページから Citrix Workspaceアプリをダウンロードできます

ユーザーが Citrix Workspaceアプリでログオンするとユーザー接続は次の法で Citrix Gateway経由でルーティングできます

bull Endpoint Managementへのダイレクトbull StoreFrontに直接bull Endpoint Managementで MDXモバイルアプリを構成しない場合StoreFrontと Endpoint Manage-

ment


Citrix Gateway 130

bull Endpoint Management で MDX モバイルアプリを構成する場合はEndpoint Management からStoreFrontへ

注 Endpoint Management に直接ルーティングされる接続はAppController 20AppController 25AppController 26アプリケーションコントローラー 28およびアプリケーションコントローラー 29でのみサポートされますAppController 11をネットワークに展開している場合ユーザー接続は StoreFront経由でルーティングする必要があります


ユーザー接続と Citrix Workspaceアプリの仕組み

March 26 2020

ユーザーはCitrix Workspaceアプリから次のアプリデスクトップおよびデータに接続できます

bull StoreFrontおよびWeb Interfaceで公開されたWindowsベースのアプリケーションおよび仮想デスクトップ

bull Citrix Endpoint Managementを介してアクセスされる ShareFileデータ

ユーザーは次の Citrix Workspaceアプリのいずれかを使してログオンできます

bull Web向け Citrix Workspaceアプリbull Windows向け Citrix Workspaceアプリbull Mac向け Citrix Workspaceアプリbull iOS向け Citrix Workspaceアプリbull Android向け Citrix Workspaceアプリ

ユーザーはWebブラウザーまたはユーザーデバイスの Citrix Workspaceアプリのアイコンを使してWebCitrix Workspaceアプリでログオンできます

ユーザーが Citrix Workspaceアプリの任意のバージョンでログオンするとアプリケーションShareFileデータおよびデスクトップがブラウザまたは Citrix Workspaceアプリのウィンドウに表されます


Citrix Workspaceアプリへの Citrix Gatewayプラグインの追加

March 26 2020


Citrix Gateway 130

ユーザーデバイスに Citrix Workspaceアプリをインストールするとユーザーは Citrix Workspaceアプリを介して Citrix Gatewayプラグインを使してログオンできますCitrix Gatewayプラグインを MerchandisingServerアップロードするとプラグインがユーザーデバイスの Citrix Workspaceアプリにダウンロードされてインストールされますユーザーが Citrix Workspaceアプリを初めてインストールするときに Citrix Gatewayプラグインをインストールしている場合プラグインは動的に Citrix Workspaceアプリに追加されます

ユーザーデバイスへのプラグインの配信

プラグインをユーザーデバイスに配信するにはMerchandising Serverに Citrix Gatewayプラグインをアップロードして構成する必要がありますユーザーが選択するとプラグインはMerchandising Serverからダウンロードおよびインストールされます

ユーザーが Citrix Gatewayプラグインをインストールした後Citrix WorkspaceアプリをインストールするとCitrix Workspaceアプリのインストールが完了するとCitrix Workspaceアプリのメニューに Citrix Gatewayプラグインが表されます

ユーザーが Windows の Citrix Workspace アプリを持っている場合ユーザーは Windows の CitrixWorkspaceアプリアップデーターをインストールできますこれはプラグインを更新しMerchandising Serverと通信するオプションのコンポーネントですCitrix WorkspaceアプリにはCitrix Gatewayプラグインを含め配信可能なすべてのプラグインが含まれていますWindows Citrix Workspaceアプリアップデーターの詳細についてはCitrix eDocsライブラリにある Citrix Workspaceアプリとプラグインのセクションを参照してください

Citrix Workspaceアプリを使した Citrix Gatewayへの接続

ユーザーがWindowsの Citrix Workspaceアプリに接続する場合通知領域で Citrix Workspaceアプリのアイコンを右クリックし［環境設定］をクリックして［プラグインの状態］をクリックしますCitrix Gatewayプラグインがユーザーデバイスにインストールされている場合ユーザーは Citrix Gatewayプラグインを右クリックし［ログオン］をクリックします認証が成功するとCitrix Gatewayプラグインは Citrix Gatewayへの接続を確し完全な VPNトンネルを確します

ユーザーはWebブラウザを使してログオンすることもできますユーザーはCitrix Gatewayの完全修飾ドメイン名（FQDN）をしログオンしますCitrix Gatewayが接続を確するとユーザーは Citrix Workspaceアプリの［環境設定］gt［プラグインのステータス］パネルで接続を確認できます

Citrix GatewayのWebアドレスはMerchandising Serverで構成されたメタデータの部でありユーザーはアドレスを変更できませんCitrix GatewayプラグインによりCitrix Gatewayへのログオンが開始されますユーザーデバイスにインストールされているWindowsの Citrix Gatewayプラグインのバージョンが CitrixGatewayアプライアンスのバージョンと異なる場合はユーザーがログオンしたときにプラグインが動的にダウングレードまたはアップグレードされますMac OS Xの Citrix Gatewayプラグインは動的にダウングレードされません以前のバージョンのプラグインをMacコンピュータにインストールするにはまず Citrix GatewayプラグインをアンインストールしてからCitrix Gatewayから以前のバージョンをダウンロードする必要があります


Citrix Gateway 130

Citrix Gatewayプラグインのアップグレードまたはダウングレード

Citrix Gatewayプラグインのアップグレードまたはダウングレード中にアプライアンスは正しいバージョンのプラグインを削除ダウンロードインストールしますユーザーはCitrix Workspaceアプリの［環境設定］gt［プラグインのステータス］パネルでプラグインのエントリを確認することで新しいインストールを確認できます新しくインストールした Citrix GatewayプラグインのバージョンはMerchandising Serverで設定したバージョンとは異なる場合があります

Citrix GatewayプラグインをMerchandising Serverに追加する

またCitrix Gatewayプラグインの配信をMerchandising Serverで構成することもできますマーチャンダイジングサーバーではCitrix GatewayプラグインのMSIインストールパッケージをアップロードできるWeb構成インターフェイスが提供されますMerchandising Serverでは次の操作を実できます

bull Citrix Gatewayプラグインのバージョンとメタデータを指定します

bull Citrix Gatewayアプライアンスの 1つまたは複数のWebアドレスを構成します

bull オペレーティングシステムまたはその他のパラメータに基づいて特定のルールを関連付けます

ユーザーはMerchandising Serverで構成されたサーバーのリストからサーバーを追加または削除することはできませんがCitrix Workspaceアプリのネットワーク設定パネルの構成済みリストから別のサーバーを選択することはできます

アクセスシナリオのフォールバックまたは負荷分散を使している場合はCitrix GatewayのWebアドレスの固定セットを構成しMerchandising Serverデフォルトのアドレスとして指定することができますユーザーはCitrix Workspaceアプリのメニューから［ログオン］を選択するとデフォルトのサーバーに接続しますユーザーはCitrix Workspaceアプリの［環境設定］gt［ネットワーク設定］パネルを使して表されたリストから別のアドレスを選択できます

ユーザーは引き続きWebブラウザーを使して任意の Citrix GatewayにログオンできますユーザーがWebブラウザーを使してログオンするとCitrix Gatewayプラグインは動的に Citrix Gatewayのバージョンにアップグレードまたはダウングレードされます

以下にCitrix GatewayプラグインをMerchandising Serverに追加する般的な順をします具体的な構成順についてはCitrix eDocsライブラリの「テクノロジー」セクションの「Merchandising Server」を参照してください

bull Merchandising Server管理コンソールの [全般]タブで設定を構成します

bull Citrix GatewayプラグインをMerchandising Serverに追加します

bull ターゲットプラットフォームに適したプラグインバージョンを選択しますCitrix Gatewayプラグインを商品配信に追加ページにプラグインを表するにはMerchandising Serverメインページに追加する必要があります

bull Citrix Gatewayプラグインの配信を構成します


Citrix Gateway 130

bull Citrix Gatewayの Webアドレスを識別する場所のわかりやすい名前を使しますこの名前はCitrixWorkspaceアプリに表されますCitrix Gatewayアプライアンスを追加することもできます

bull 認証の種類を指定しユーザー名パスワード暗証番号（PIN）などCitrix Workspaceアプリのログオンダイアログボックスに表される特定のラベルをカスタマイズします

bull 配送のルールを追加します

bull [配信へのルールの追加]ページにルールを表する場合はルールを作成する必要があります

bull 配送のスケジュールを設定します


Citrix Workspaceアプリのアイコンの切り離し

March 26 2020

Citrix Workspaceアプリと統合されたCitrix Gatewayプラグインを使してCitrix Virtual Apps and Desktops展開を構成するとVPNに接続しているユーザーにはプラグインのアイコンが表されませんCitrix Gatewayのプラグインアイコンは通常Windowsのシステムトレイまたは Mac OS X Finderのメニューバーにありますこのアイコンはプラグインの設定とコントロールへのインタフェースですWindowsユーザーの場合CitrixWorkspaceアプリと Citrix Gatewayプラグインが統合されている場合Citrix Workspaceアプリの［バージョン情報］ダイアログにCitrix Gatewayプラグインのコントロールが表されますMac OS Xユーザーの場合統合後に使できる Citrix Gatewayプラグインのコントロールはありません

部の統合デプロイメントでは基盤となる機能の統合を維持しながらプラグインのコントロールを公開する必要がある場合がありますこれをうには以下の CLIコマンドまたは Citrix ADC構成ユーティリティータスクを使してVPNクライアントのアイコン統合を切り替えます

コマンドラインを使したアイコン統合の設定

次のコマンドを使します

1 set vpn parameter [-iconWithReceiver (ONOFF)]

構成ユーティリティを使したアイコン統合の設定

Citrix ADC構成ユーティリティを使して次の操作をいます



Citrix Gateway 130

2 [グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します

3 [詳細設定]をクリックします

4［Citrix Workspaceアプリで VPNプラグインアイコンを表する］を選択します


ICA接続の IPv6の構成

March 26 2020

Citrix Gateway はICA 接続の IPv6 アドレスをサポートしますIPv6 を使した Web Interface またはStoreFrontへの接続はIPv4接続と同じように機能しますユーザーが Citrix GatewayのWebアドレスを使して接続するとCitrix GatewayはWeb Interfaceまたは StoreFrontへの接続をプロキシします

1つの DMZに展開された Citrix Gatewayまたはダブルホップ DMZに展開された Citrix Gatewayに IPv6を構成できます

Citrix Gatewayで IPv6を有効にするにはコマンドラインを使します次のガイドラインを使できます

bull アプライアンスで IPv6を有効にします

bull サブネット IPアドレスを設定します

bull DNS解決の順序を設定します

bull Web Interfaceまたは StoreFrontのWebアドレスを設定します

bull Secure Ticket Authority（STA）を Citrix Gatewayにバインドします

デフォルトではマッピング IPアドレスは IPv6アドレスをサポートしませんユーザー通信を内部ネットワークにルーティングするにはサブネット IPアドレスを作成しサブネット IPアドレスを使するように Citrix Gatewayを設定する必要があります

ネットワーク内に複数の IPv6サブネットを展開する場合はCitrix Gatewayでネットワーク上の各サブネットに対して複数の IPv6サブネット IPアドレスを作成しますネットワークルーティングはサブネット IPアドレスを使して IPv6パケットをそれぞれのサブネットに送信します



1 PuTTYなどのセキュアシェル（SSH）接続を使してCitrix Gatewayにログオンします

2 コマンドプロンプトでns機能を有効にする IPv6PTとしますこれによりIPv6が有効になります


Citrix Gateway 130

3 コマンドプロンプトでnsモードを有効にする USNIPとしますこれによりサブネット IPアドレスの使が可能になります

4 コマンドプロンプトで次のようにしますset dns parameter ndashresolutionOrder AAAA-ThenAQuery AThenAAAAQuery OnlyAAAAQuery OnlyAQuery

5 コマンドプロンプトで「set vpn parameter -wihome httpXD_domainCitrixStoreWeb」とします

ここでltXD_domaingtは StoreFrontのドメイン名または IPアドレスです

たとえばset vpn parameter -wihome httpstorefrontdomaincomCitrixStoreWeb

または

set vpn parameter -wihome http[100020003000]CitrixStoreWeb

IPv6アドレスを使してこのパラメータを構成する場合はIPアドレスを括弧で囲む必要があります


CitrixCitrix Gatewayでの Citrix Workspaceアプリのホームページの構成

March 26 2020

Citrix Workspaceアプリのホームページはグローバルに構成することもセッションプロファイルの部として構成することもできますCitrix Workspace Gateway経由で StoreFrontを認識しないWebおよびそれ以前のバージョンの Citrix Workspaceアプリに Citrix Workspaceアプリを構成する場合は2つのセッションプロファイルを個別に作成する必要がありますCitrix Workspaceアプリのホームページにはユーザーが正常にログオンできるように各プロファイルの正しいWebアドレスが必要です

Citrix Gatewayを介して StoreFrontを認識する Citrix Workspaceアプリの場合Web Citrix Workspaceアプリと Citrix Workspaceアプリでプロファイルを共有できますただしWeb Citrix Workspaceアプリにセッションプロファイルを構成し他のすべての Citrix Workspaceアプリに個別のセッションプロファイルを構成することをお勧めします






Citrix Gateway 130

3［グローバル Citrix Gateway設定］ダイアログボックスで［公開アプリケーション］タブをクリックします

4 Citrix WorkspaceアプリのホームページでCitrix WorkspaceアプリまたはWebホームページの CitrixWorkspaceアプリのWebアドレスをし「OK」をクリックします





3 Citrix Gatewayセッションプロファイルの作成］ダイアログボックスの［公開アプリケーション］タブで［Citrix Receiverのホームページ］の横にある［グローバル上書き］をクリックします

4 Citrix WorkspaceアプリのホームページでCitrix WorkspaceアプリまたはWebホームページの CitrixWorkspaceアプリのWebアドレスをし「作成」をクリックします


ログオンページへの Receiverテーマの適

March 26 2020

構成ユーティリティを使してCitrix Gatewayのログオンページに Receiverテーマを適できますReceiverテーマデフォルトテーマまたは作成したカスタムテーマを切り替えることができますこの機能は以下の CitrixGatewayバージョンで使できます

bull Citrix Gateway 101以降のバージョンです





3［グローバル Citrix Gateway設定］ダイアログボックスで［クライアントエクスペリエンス］タブをクリックします


Citrix Gateway 130

4 [UIテーマ]の横にある [緑の泡]をクリックし[OK]をクリックします

このコマンドは元のログオンページを Receiverテーマで上書きします注別のテーマを適した後キャッシュされたページが表されないようにブラウザのキャッシュをクリアするようにユーザーに助します



March 26 2020

構成ユーティリティを使してCitrix Gatewayのログオンページのカスタムテーマを作成できますデフォルトのテーマを使することもCitrix Workspaceアプリのテーマを使することもできますログオンページにカスタムテーマを適する場合はCitrix Gatewayコマンドラインを使してテーマを作成して展開します次に構成ユーティリティを使してカスタムテーマページを設定します

カスタムテーマページはCitrix Gatewayのグローバル設定を使して構成します

この機能は以下のバージョンの Citrix Gatewayで使できます

bull Citrix Gateway 101

bull Access Gateway 10ビルド 735002e (アプリケーションコントローラーのバージョン 2526または28でこの機能を使するにはビルド 716104eの後にこのビルドをインストールする必要があります)


コマンドラインを使してカスタムテーマを作成して展開する

コマンドラインを使してカスタムテーマを作成して展開するには

1 Citrix Gatewayのコマンドラインにログオンします

2 コマンドプロンプトで shellとします

3 コマンドプロンプトでmkdir varns_gui_custom cd netscaler tar -cvzf varns_gui_customcustomthemetargzns_guiとします

4 構成ユーティリティを使してカスタムテーマに切り替えvarns_gui_customns_guivpnでカスタマイズを変更します次の操作を実できます

bull cssctxauthenticationcssファイルを編集します

bull カスタムロゴを varns_gui_customns_guivpnメディアフォルダにコピーします注 WinSCPを使してファイルを転送できます


Citrix Gateway 130

5 複数の Citrix Gatewayアプライアンスがある場合はすべてのアプライアンスに対して順 3と 4を繰り返します



March 26 2020

VPNユーザーにポータルを提供する Citrix Gatewayのインストールにはポータルのテーマを選択してポータルページの外観をカスタマイズするオプションがあります意されているテーマのセットから選択するかテーマをテンプレートとして使してカスタマイズまたはブランド化されたポータルを構築できます構成ユーティリティーを使して新しいロゴ背景画像カスタムボックスラベルおよび CSSベースのポータルデザインのさまざまな属性を追加することでテーマを変更できます組み込みのポータルテーマには英語フランス語スペイン語ドイツ語本語の 5つの語のコンテンツが含まれますWebブラウザによって報告されるロケールに応じて異なるユーザーが異なる語で提供されます

VPNユーザがサインインを許可する前に VPNユーザに提されるカスタムのエンドユーザー使許諾契約（EULA）を作成するオプションがありますEULA機能はロケール固有のバージョンの EULAをサポートしますEULAはWebブラウザで報告されたロケールに基づいてユーザに提されます

ポータルテーマと EULA構成の両はVPN仮想サーバーおよび VPNグローバルレベルで個別にバインドできます

重要 Citrixではコードの変更が必要なカスタマイズはサポートされておらずデフォルトのテーマに戻す以外の問題を解決するためのサポートも提供していません

ポータルテーマの適

デフォルトではVPNポータルは Caxtonテーマを使するように構成されていますCaxtonテーマの名前はDefaultです

Caxton Theme

Citrix Gatewayにはポータルに適できる 2つのテーマがありますグリーンバブルと X1のテーマです


Citrix Gateway 130

Greenbubble Theme

X1 Theme

提供されたテーマはVPN仮想サーバに直接適することもグローバル VPNバインディングとして適することもできます

VPN仮想サーバーへのポータルテーマのバインド

ポータルテーマは既存の仮想サーバー上または新しい仮想サーバーの作成時にバインドできます

コマンドラインを使してポータルテーマを既存の VPN仮想サーバーにバインドする


1 bind vpn vserver ltnamegt - portaltheme ltnamegt

構成ユーティリティーを使したポータルテーマの既存の VPN仮想サーバーへのバインド

1［構成］タブで［Citrix Gateway］に移動し［仮想サーバー］をクリックします2 仮想サーバーを選択し[編集]をクリックします3 ポータルテーマがまだ仮想サーバーにバインドされていない場合は詳細ペインの [詳細設定]の [ポータルテーマ]をクリックしますそれ以外の場合[ポータルのテーマ]オプションは詳細ペインで既に展開されています

4 詳細ペインの [ポータルテーマ]で[ポータルテーマなし]をクリックして [ポータルテーマバインディング]ウィンドウを展開します

5 [クリックして選択]をクリックします6 [ポータルテーマ]ウィンドウでテーマ名をクリックし[選択]をクリックします7［バインド］をクリックします8［完了］をクリックします

VPN仮想サーバーを作成する場合はVPN仮想サーバーの編集ペインで上記の順 3から開始してポータルのテーマをバインドできます

VPNグローバルへのポータルテーマのバインド

コマンドラインを使したポータルテーマの VPNグローバルスコープへのバインド



Citrix Gateway 130

1 bind vpn global portaltheme ltnamegt

構成ユーティリティーを使したポータルテーマの VPNグローバルスコープへのバインド

1［構成］タブで［Citrix Gatewayに移動します2 メインの詳細ペインで［Citrix Gatewayポリシーマネージャー］をクリックします3「+」アイコンをクリックします4「バインドポイント」リストで「リソース」を選択します5「接続タイプ」リストで「ポータルテーマ」を選択します6［続］をクリックします7「バインドポイント」画で「バインドの追加」をクリックします8 [クリックして選択]をクリックします9 [ポータルテーマ]ウィンドウでテーマ名をクリックし[選択]をクリックします

10［バインド］をクリックします11［閉じる］をクリックします12 [完了]をクリックします

ヒント連の変更が完了したらコマンドラインで「save ns config」コマンドを使するか構成ユーティリティの保存アイコンをクリックして変更内容が Citrix ADC構成ファイルに保存されます

ポータルテーマの作成

カスタムポータルデザインを作成するには提供されているポータルテーマの 1つをテンプレートとして使します選択したテンプレートテーマのコピーが指定した名前で作成されます

在庫ポータルテーマのカスタムポータルテーマのテンプレートとしての使

ポータルテーマを作成するには構成ユーティリティーまたはコマンドラインを使してテーマエンティティーを作成しますただし詳細なカスタマイズコントロールは構成ユーティリティ内でのみ使できます

コマンドラインを使したポータルテーマの作成


1 add portaltheme ltnamegt basetheme ltnamegt


Citrix Gateway 130

構成ユーティリティーを使したポータルテーマの作成

1［構成］タブで［Citrix Gateway］に移動し［ポータルのテーマ］をクリックします2 メインの詳細ウィンドウで[追加]をクリックします3 テーマの名前をしテンプレートリストからテンプレートを選択し[ OK]をクリックします4 この時点でポータルテーマ編集ウィンドウの初回ビューが表されます［OK］をクリックして終了します

最初のビューを使して新しいポータルテーマのカスタマイズに進むことができますただしポータルテーマの編集を続する前にインターフェースに関する次のポータルテーマのカスタマイズセクションおよびインターフェース内のカスタマイズ可能なポータル属性のポップアップの説明をお読みください

新しいテーマが作成されたらVPN仮想サーバーへのポータルテーマのバインドまたはVPNグローバルへのポータルテーマのバインドの説明に従ってバインドできます新しいテーマは作成後またはカスタマイズ完了後すぐにバインドできます

ポータルテーマのカスタマイズ

ポータルテーマをカスタマイズするには構成ユーティリティーのポータルテーマインターフェースを使します最良の結果を得るにはこのインタフェースを使する前にこのインタフェースのさまざまな要素を理解しておく必要があります

ポータルテーマインタフェースについて

Citrix Gateway構成ユーティリティでポータルのテーマインターフェイスを開くには［構成］タブで［CitrixGateway］に移動し［ポータルのテーマ］をクリックします「ポータルテーマの作成」の説明に従ってテーマを作成するかメインの詳細ペインで既存のテーマを選択して「編集」をクリックします

ポータルテーマのカスタマイズページにはポータルデザインを変更するための 4つの主要なコンポーネントペインがあります「ポータルテーマ」ペイン「ルックアンドフィール」ペイン「詳細設定」ペインおよび「語」ペインです

ポータルテーマインタフェース

ページ上部の「ポータルテーマ」ペインには編集にロードされたテーマとそれが基づいているテンプレートテーマがされますここでの表オプションを使するとユーザー接続で VPNにアクセスすることなくカスタマイズ内容を表できます表オプションを使するにはテーマを VPN仮想サーバにバインドする必要がありますバインディングは表ウィンドウを閉じた後も有効です

ページの中央にある [ルックampフィール]ペインでヘッダー背景と画像フォントのプロパティロゴなどテーマの全般プロパティを構成しますこのペインが編集モードの場合属性凡例を使してポータルページでLook amp Feel属性が使される場所に関するガイダンスを使できます


Citrix Gateway 130

[詳細設定]ペインには個々のポータルページの画上のコンテンツコントロールが表されます編集にページのコンテンツを読み込むには覧表されているページの 1つをクリックしますページコントロールは他の中央のペインの下に表されますページが変更されていない限りポータルテーマの編集をっても[詳細設定]ペインでページが折りたたまれたままになります

[語]ペインでは[詳細設定]ペインで編集対象のページを選択したときにロードする語を選択できますデフォルトでは英語のページが読み込まれます

カスタマイズ可能なページ属性のタイプ

ポータルテーマをカスタマイズする場合ポータルテーマインタフェースで属性の範囲を変更できます編集可能なテキストとサポートされている語に加えてポータルのレイアウトのすべてのグラフィック要素をニーズに合わせて調整できます各ページ要素タイプには変更する前に考慮すべきパラメータまたは推奨事項があります

ポータルデザインではページの背景ハイライトタイトルと本コンテンツのテキストボタンコントロールホバー応答などの属性のを指定しますカラー属性をカスタマイズするには選択した項のカラー値を直接するか付属のカラーピッカーを使してカラー値を成しますこのインターフェイスでは有効なHTMLカラー値を RGBA形式HTMLの 16進数トリプレット形式および X11カラー名でできますカラーピッカーはアトリビュートのフィールドの横にあるカラーボックスをクリックすることで適可能なカラーアトリビュートに対してアクセスできます

カラーピッカー

フォント

フォントのに加えて部のページ属性のフォントサイズを変更できますこれらの属性ごとにポータルの設計によって決定される各属性で使できるサイズがメニューに表されます

画像

画像の場合各コントロールで使できるポップアップの説明に推奨サイズやその他の要件が表されます説明はページ上の属性の場所とその機能によって異なりますPNGまたは JPEGイメージファイル形式を使できますアップロードするイメージを選択するにはアイテムのファイル名の下にあるチェックボックスをオンにしローカルコンピュータのドライブ上のイメージがある場所を参照します

ラベル

[詳細設定]セクションで変更する特定のポータルページのテキストを選択できますページの既定の英語のテキストを変更しても他の語のテキストは再翻訳されません代替語のページコンテンツは利便性のために提供されていますがカスタマイズについては動で更新する必要がありますページの別の語バージョンを編集するには開いているポータルページの [ X ]アイコンをクリックしてウィンドウが開いている場合はまずウィンドウを折りたたみます次に[語]ペインで語を選択し[ OK ]をクリックします[詳細設定]ウィンドウから開いたすべてのポータルページは別のページを選択するまでその語で表されます


Citrix Gateway 130

重要

可性またはクラスター化されたデプロイメントではポータルのテーマが共有構成全体に分散されるのはプライマリまたは構成コーディネータの Citrix ADCエンティティでそれぞれポータルのテーマが設定されている場合のみです

古いポータルのカスタマイズに関する注意事項

Citrix Gatewayまたは Access Gatewayリリース 110より前のリリースで作成されたカスタムポータル設計を動で変更したインストールの場合はカスタマイズインターフェイスで新しいポータルテーマから開始することを強くお勧めしますカスタマイズができない場合は動でカスタマイズを適できますがその直接サポートは提供されません

動でカスタマイズしたポータルを使する場合はカスタマイズしたポータルをグローバルポータル構成として設定する必要がありますただしそうすると適されたグローバルポータル構成を VPN仮想サーバーレベルのポータルテーマのバインドで上書きすることはできませんこの場合設定ユーティリティまたはコマンドラインを使して VPN仮想サーババインディングを作成しようとするとエラーが返されます

また可性とクラスタ構成の場合はCitrix ADCファイルシステムの基盤となるファイルが動的に共有される構成で配布されないため展開内のすべてのノードで動でカスタマイズをう必要があります

カスタムポータル構成の動作成

Citrix Gateway 110へのアップグレード後にカスタマイズされた古いポータル構成を動で適するには既存のポータルページのコピーを変更しカスタマイズされたポータルファイルを Citrix ADCファイルシステムに配置しUITHEMEパラメーターとしてカスタムを選択する必要があります

WinSCPまたはその他のセキュアコピープログラムを使してCitrix ADCファイルシステムにファイルを転送できます

1 Citrix Gatewayのコマンドラインにログオンします2 コマンドプロンプトで shellとします3 コマンドプロンプトでmkdir varns_gui_custom cd ネットスケーラ tar-cvzf varns_gui_カスタムカスタムテーマtargz ns_guiとします

4 コマンドプロンプトでcd varnetscalerログオンテーマとしますbull グリーンバブルテーマをカスタマイズする場合は「cp-rグリーンバブルカスタム」としてグリーンバブルテーマのコピーを作成します

bull 既定のテーマ (Caxton)をカスタマイズする場合はcp-r既定のカスタムとしますbull X1テーマをカスタマイズするには「cp-r X1カスタム」とします

5 varnetscalerlogonthemesCustomの下にコピーされたファイルに必要な変更を加えテーマを動でカスタマイズします

bull cssbasecssに必要な編集をいます


Citrix Gateway 130

bull カスタムイメージを varns_gui_customns_guivpnメディアディレクトリにコピーしますbull resourcesディレクトリにあるファイルのラベルを変更しますこれらのファイルはポータルでサポートされているロケールに対応しています

bull HTMLページまたは javascriptファイルに対する変更も必要な場合はvarns_gui_customns_gui内のファイルに関連するようにできます

6 カスタマイズの変更がすべて完了したらプロンプトに次のようにしますtar mdashcvzfvarns_gui_customcustomthemetargz varns_gui_customns_gui

重要

前述の順でテーマディレクトリをコピーする場合はCitrix ADCシェルインターフェイス内でディレクトリ名の字と字が区別されるためコピーしたフォルダ名を「カスタム」と正確にする必要がありますディレクトリ名が正確にされていない場合UITHEME設定が CUSTOMに設定されている場合フォルダは認識されません

カスタマイズしたテーマを VPNグローバルパラメータとして選択

動でカスタマイズしたポータル構成が完了しCitrix ADCファイルシステムにコピーしたらその構成を CitrixGateway構成に適する必要がありますこれはUITHEMEパラメータを CUSTOMに設定することによって実されコマンドラインまたは構成ユーティリティを使して完了できます

コマンドラインを使するには次のコマンドをして UITHEMEパラメータを設定します

1 set vpn parameter UITHEME CUSTOM

構成ユーティリティーを使して UITHEMEパラメーターを設定するには以下の順に従います

1［構成］タブでCitrix Gateway gt［グローバル設定］に移動します2 [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブをクリックします4 画の下部までスクロールし[ UIテーマ]リストメニューから [カスタム]を選択します5［OK］をクリックします

これで動でカスタマイズしたポータルが VPNユーザーに提供されるポータル設計になりました

使許諾契約書の作成

VPNポータルシステムはポータル構成にエンドユーザーライセンス契約 (EULA)を適するオプションを提供しますEULAが VPNグローバルスコープまたは関連する VPN仮想サーバーのいずれかで Citrix Gateway構成にバインドされるとVPNユーザーは VPNへの認証を許可する前に利規約として EULAに同意する必要があります

ポータルテーマと同様にユーザーはWebブラウザーから報告されたロケールに基づいて語固有の EULAを提供しますサポートされているどの語にも致しないロケールの場合デフォルトの語は英語ですEULAご


Citrix Gateway 130

とにサポートされている各語でカスタムメッセージをできますEULA構成ではポータルテーマの場合と同様に事前に翻訳されたコンテンツは提供されませんユーザーの報告されたロケールがEULAコンテンツがされていない語と致する場合VPNログインページの [利規約]リンクをクリックすると空のページが返されます

EULAを作成するにはCitrixGatewaygtグローバル設定gtEULAまたは CitrixGatewaygtリソースgtEULAの［構成］タブで構成ユーティリティーのいずれかのコントロールを使します[ Global Settings]ペインのコントロールは VPNグローバル EULAバインディングを管理するために使され[Resources] gt [EULA ]ノードのコントロールは EULA設定の般的な操作に使されますVPN仮想サーバーの EULAバインディングを管理するには［Citrix Gateway］gt［仮想サーバー］で VPN仮想サーバーを編集します部のコマンドはEULAエンティティを管理するためのコマンドラインでも使できますただし完全な EULA管理コントロールは構成ユーティリティでのみ使できます

コマンドラインを使した EULAエンティティの作成


1 add vpn eula ltnamegt

構成ユーティリティを使した EULAエンティティの作成

1 Citrix Gateway gt［リソース］gt［EULA］に移動します2「追加」(Add )をクリックしてエンティティを作成します3 エンティティの名前をします4 各語について関連するタブの下にコンテンツを貼り付けますテキスト形式または HTMLタグを使して改を追加するltbrgtタグなどコンテンツの書式を設定できます


EULAエンティティが作成されるとそのエンティティは VPN設定にグローバルにバインドすることもVPN仮想サーバーにバインドすることもできます

コマンドラインを使して EULAを VPNグローバルにバインドする


1 bind vpn global eula ltnamegt

設定ユーティリティを使したグローバル EULA VPNバインディングの作成



Citrix Gateway 130

2 メインの詳細ペインで[使許諾契約書の設定]をクリックします3 [バインドを追加]をクリックします4 [クリックして選択]をクリックします5 EULAエンティティを選択し[選択]をクリックします6［バインド］をクリックします7［閉じる］をクリックします

コマンドラインを使して EULAを VPN仮想サーバーにバインドする


1 bind vpn vserver ltnamegt eula ltnamegt

設定ユーティリティを使した EULAを VPN仮想サーバにバインドする

1［構成］タブでCitrix Gateway gt［仮想サーバー］の順に選択します2 メインの詳細ペインでVPN仮想サーバーを選択し[ Edit]をクリックします3 ページの右側の [詳細設定]ペインで[ EULA ]をクリックします4 新しく追加された EULAペインで[ EULAなし]をクリックします5 [クリックして選択]をクリックします6 EULAエンティティを選択し[選択]をクリックします7［バインド］をクリックします8［完了］をクリックします



March 26 2020

クライアントレスアクセスによりユーザーは Citrix Gatewayプラグインや Receiverなどのユーザーソフトウェアをインストールしなくても必要なアクセスが可能になりますユーザーはWebブラウザを使してOutlookWeb AccessなどのWebアプリケーションに接続できます

クライアントレスアクセスを設定する順は次のとおりです

bull グローバルにまたはユーザグループまたは仮想サーバにバインドされたセッションポリシーを使してクライアントレスアクセスを有効にします

bull Webアドレスのエンコード式の選択


Citrix Gateway 130

特定の仮想サーバに対してのみクライアントレスアクセスを有効にするにはクライアントレスアクセスをグローバルに無効にしそれを有効にするセッションポリシーを作成します

Citrix Gatewayウィザードを使してアプライアンスを構成する場合はウィザード内でクライアントレスアクセスを構成できますウィザードの設定はグローバルに適されますCitrix Gatewayウィザードでは次のクライアント接続法を構成できます

bull Citrix GatewayプラグインユーザーはCitrix Gatewayプラグインを使してのみログオンできますbull Citrix Gatewayプラグインを使しアクセスシナリオのフォールバックを許可しますユーザーはCitrix

Gatewayプラグインを使して Citrixゲートウェイにログオンしますユーザーデバイスがエンドポイント分析スキャンに失敗した場合ユーザーはクライアントレスアクセスを使してログオンできますこの場合ユーザーはネットワークリソースへのアクセスが制限されます

bull ユーザーがWebブラウザとクライアントレスアクセスを使してログオンできるようにしますユーザーはクライアントレスアクセスを使してのみログオンできネットワークリソースへのアクセスが制限されます



March 26 2020

グローバルレベルでクライアントレスアクセスを有効にするとすべてのユーザがクライアントレスアクセスの設定を受け取りますCitrix Gatewayウィザードグローバルポリシーまたはセッションポリシーを使してクライアントレスアクセスを有効にできます

グローバル設定またはセッションプロファイルではクライアントレスアクセスには次の設定があります

bull Onクライアントレスアクセスを有効にしますクライアントの選択を無効にしStoreFrontまたはWebInterfaceを構成または無効にしない場合ユーザーはクライアントレスアクセスを使してログオンします

bull Allow デフォルトではクライアントレスアクセスは有効になっていませんクライアントの選択を無効にしStoreFrontまたはWeb Interfaceを構成または無効にしない場合ユーザーは Citrix Gatewayプラグインを使してログオンしますユーザーのログオン時にエンドポイントの分析が失敗するとクライアントレスアクセスが可能な選択肢ページが表されます

bull Off クライアントレスアクセスはオフになっていますこの設定を選択するとユーザーはクライアントレスアクセスを使してログオンできずクライアントレスアクセスのアイコンが選択肢ページに表されません

注コマンドラインインターフェイスを使してクライアントレスアクセスを設定する場合オプションは ONOFFまたは Disabledです

Citrix Gatewayウィザードを使してクライアントレスアクセスを有効にしなかった場合はグローバルにまたは構成ユーティリティを使してセッションポリシーで有効にすることができます


Citrix Gateway 130

クライアントレスアクセスをグローバルに有効にするには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にある [ON]を選択し[OK]をクリックします

セッションポリシーを使してクライアントレスアクセスを有効にするには

選択したユーザグループまたは仮想サーバだけにクライアントレスアクセスを使する場合はクライアントレスアクセスをグローバルに無効にするかオフにします次にセッションポリシーを使してクライアントレスアクセスを有効にしユーザグループまたは仮想サーバにバインドします


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします



クライアントレスアクセスを有効にするセッションポリシーを作成したらユーザグループまたは仮想サーバにバインドします


Webアドレスのエンコーディング

March 26 2020

クライアントレスアクセスを有効にすると内部Webアプリケーションのアドレスをエンコードするかアドレスをクリアテキストのままにするかを選択できます設定は次のとおりです

bull わかりにくいこれは標準のエンコーディングメカニズムを使してリソースのドメインとプロトコル部分を隠します


Citrix Gateway 130

bull クリアWebアドレスはエンコードされずユーザーに表されますbull 暗号化ドメインとプロトコルはセッションキーを使して暗号化されますWebアドレスが暗号化されている場合同じWebリソースのユーザセッションごとにURLが異なりますユーザーがエンコードされたWebアドレスをブックマークしWebブラウザに保存してからログオフするとユーザーがログオンしてブックマークを使してWebアドレスに再度接続しようとするとWebアドレスに接続できなくなります注ユーザーがセッション中に暗号化されたブックマークをアクセスインターフェイスに保存するとユーザーがログオンするたびにブックマークが機能します

この設定はグローバルに構成することもセッションポリシーの部として構成することもできますセッションポリシーの部としてエンコーディングを構成する場合はユーザーグループまたは仮想サーバーにバインドできます

Webアドレスのエンコーディングをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセス URLエンコーディング]の横のエンコードレベルを選択し[OK]をクリックします

セッションポリシーを作成してWebアドレスエンコーディングを設定するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセス URLエンコーディング]の横にある [グローバル上書き]をクリックしエンコードレベルを選択して [OK]をクリックします




March 26 2020


Citrix Gateway 130

Webアプリケーションへのクライアントレスアクセスを設定するにはポリシーを作成しますクライアントレスアクセスポリシーの設定は設定ユーティリティで設定できますクライアントレスアクセスポリシーは規則とプロファイルで構成されますCitrix Gatewayに付属する構成済みのクライアントレスアクセスポリシーを使できます独のカスタムクライアントレスアクセスポリシーを作成することもできます

Citrix Gatewayには以下のポリシーが事前に構成されています

bull Outlook Web Accessと Outlook Web Appbull SharePointのユーザーbull その他すべてのWebアプリケーション

事前設定されたクライアントレスアクセスポリシーの次の特性に注意してください

bull これらは動的に設定され変更することはできませんbull 各ポリシーはグローバルレベルでバインドされますbull クライアントレスアクセスをグローバルに有効にするかセッションポリシーを作成しない限り各ポリシーは適されません

bull クライアントレスアクセスを有効にしていない場合でもグローバルバインディングを削除または変更することはできません

他のWebアプリケーションのサポートはCitrix Gatewayで構成するリライトポリシーのレベルによって異なります作成したカスタムポリシーをテストしてアプリケーションのすべてのコンポーネントが正常に書き換えられるようにすることをお勧めします

Receiver for AndroidReceiver for iOSまたはWorxHomeからの接続を許可する場合はクライアントレスアクセスを有効にする必要がありますiOSデバイスで実されるWorxHomeの場合はセッションプロファイル内で Secure Browseも有効にする必要がありますSecure Browseとクライアントレスアクセスが連携してiOSデバイスからの接続を許可しますユーザーが iOSデバイスに接続していない場合Secure Browseを有効にする必要はありません

クイック構成ウィザードではモバイルデバイスの正しいクライアントレスアクセスポリシーと設定を設定しますクイック構成ウィザードを実してStoreFrontおよび Citrix Endpoint Managementへの接続に適切なポリシーを構成することをお勧めします

カスタムクライアントレスアクセスポリシーはグローバルにバインドすることも仮想サーバにバインドすることもできますクライアントレスアクセスポリシーを仮想サーバにバインドする場合は新しいカスタムポリシーを作成してからバインドする必要がありますクライアントレスアクセスにグローバルまたは仮想サーバに対して異なるポリシーを適するにはカスタムポリシーのプライオリティ番号を変更して事前設定されたポリシーよりもさい番号にしますこれによりカスタムポリシーのプライオリティがくなります仮想サーバに他のクライアントレスアクセスポリシーがバインドされていない場合は事前に設定されたグローバルポリシーが優先されます

注事前設定されたクライアントレスアクセスポリシーのプライオリティ番号は変更できません



Citrix Gateway 130


March 26 2020

デフォルトのクライアントレスアクセスポリシーと同じ設定を使しポリシーを仮想サーバにバインドする場合はポリシーの新しい名前を指定してデフォルトポリシーをコピーできます設定ユーティリティを使してデフォルトのポリシーをコピーできます

新しいポリシーを仮想サーバーにバインドした後ユーザーがログオンしたときにポリシーが最初に実されるようにポリシーの優先順位を設定できます

デフォルト設定を使して新しいクライアントレスアクセスポリシーを作成するには


2 詳細ウィンドウの [ポリシー]タブで既定のポリシーをクリックし[追加]をクリックします3 [名前]にポリシーの新しい名前をし[作成][閉じる]の順にクリックします

クライアントレスアクセスポリシーを仮想サーバにバインドするには

新しいポリシーを作成したら仮想サーバにバインドします


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［ポリシー］タブをクリックし［クライアントレス］をクリックします

4 [ポリシーの挿]をクリックし覧からポリシーを選択して [OK]をクリックします

クライアントレスアクセスポリシー式の作成と評価

クライアントレスアクセスの新しいポリシーを作成する場合ポリシーの独の式を作成できますエクスプレッションの作成が完了したらエクスプレッションの精度を評価できます


2 詳細ウィンドウの [ポリシー]タブで既定のポリシーをクリックし[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイル]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします


Citrix Gateway 130

6 書き換え設定を構成し[作成]をクリックします7 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [式]で[追加]をクリックします8 [式の追加]ダイアログボックスで式を作成し[OK]をクリックします9 [クライアントレスアクセスポリシーの作成]ダイアログボックスで[評価]をクリックし式が正しいとテストされた場合は[作成]をクリックします


Citrix Gatewayを使した度なクライアントレス VPNアクセス

March 26 2020

クライアントレス VPN（CVPN）はクライアントマシンで VPNクライアントアプリケーションを使せずにCitrix Gatewayを介して企業のイントラネットリソースにリモートアクセスを提供する法を認識しますCVPNはクライアント側でWebブラウザを使して企業のWebアプリケーションポータルおよびその他のリソースへのリモートアクセスを提供します度な CVPNソリューションはCVPNに関する次の制限を排除します

bull 相対 URLは時々識別できません

bull 動的に成された相対 URLは識別できません

度なクライアントレス VPNは絶対 URLとホスト名を識別しHTTP応答Webページに存在する相対 URLを書き換える代わりに新しい意の法でそれらを書き換えますSharePointではURLの書き換えに既定のフォルダを使する必要がなくなりカスタム SharePointアクセスがサポートされます

前提条件

次に拡張 CVPNを設定するための前提条件をします

1 ワイルドカードサーバ証明書 -VPN仮想サーバにはワイルドカードサーバ証明書が必要ですサーバーがでhttpsvpncomホストされている場合サーバー証明書には証明書 CNまたは SANの部として (vpncomおよびvpncom )のエントリが含まれている必要があります (ここでCN =共通名SAN=Subject代替名)この証明書をバインドするプロセスはCitrix Gatewayでも変わりません

2 ワイルドカードDNSエントリ -sクライアント (Webブラウザ)は度な CVPNアプリケーションの FQDNを解決する必要がありますCitrix Gatewayサーバーのセットアップ中にvpncomを解決する DNSエントリを構成していましたrsquovpncomrsquoもvpncomに解決されるようにrsquovpncomrsquoのサブドメインを設定する必要があります


Citrix Gateway 130

度なクライアントレス VPNアクセスの設定

コマンドラインインターフェイスを使して度なクライアントレス VPNアクセスを設定するにはコマンドプロンプトで次のようにします

1 set vpn parameter -clientlessVpnMode ON2 set vpn parameter -advancedClientlessVpnMode ENABLED

セッションアクションが仮想サーバにバインドされている場合はそのセッションアクションに対して [AdvancedClientless VPN Mode]オプションも有効にする必要があります

例

1 set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED

Citrix ADC GUIを使して度なクライアントレス VPNアクセスを設定するには


2 [グローバル設定]ページで[グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します

3 [クライアントエクスペリエンス]タブの [クライアントレスアクセス]リストから [オン]をクリックします

4 [クライアントエクスペリエンス]タブの [度なクライアントレス VPNモード]リストから [有効]をクリックします

注

bull セッションアクションが仮想サーバーにバインドされている場合は［Citrix Gatewayセッションプロファイルの設定］ページの［クライアントエクスペリエンス］タブでもそのセッションアクションの［クライアントレス VPNモードの詳細設定］オプションを有効にする必要があります

bull [グローバルをオーバーライド]オプションを選択するとグローバル設定をオーバーライドできます

Advanced CVPN機能はセッションレベルでも設定できます

警告

度な CVPNはエンタープライズWebアプリケーションへのアクセスを提供することを的としていますこのようなアプリには必要なすべての種類のリソース（JavaScriptCSS画像など）に対して FQDNが 1つしかありません内部アプリケーションの完全な FQDNを単オクテット（cvpn）にエンコードするのでサブドメインの関係を失いますその結果エンタープライズWebAppが CORSで設定されるたびにAdvanced CVPN経由でアクセスする際に問題が発することがあります


Citrix Gateway 130



March 26 2020

ユーザがクライアントレスアクセスを使して接続する場合ユーザがアクセスを許可するネットワークリソースドメインおよびWebサイトを制限できますCitrix Gatewayウィザードまたはグローバル設定を使してドメインへのアクセスを含めたり除外したりするためのリストを作成できます

すべてのネットワークリソースドメインおよびWebサイトへのアクセスを許可してから除外リストを作成できます除外リストにはユーザーがアクセスできない特定のリソースのセットが記載されていますユーザーは除外リストに含まれているドメインにアクセスできません

またすべてのネットワークリソースドメインおよびWebサイトへのアクセスを拒否し特定の包含リストを作成することもできます包含リストにはユーザーがアクセスできるリソースが挙げられますユーザーはリストに表されていないドメインにアクセスできません

注Citrix Endpoint Managementまたは StoreFrontのクライアントレスアクセスポリシーを構成しユーザーが Receiver for Webに接続する場合Receiver for Webがアクセスできるドメインを許可する必要がありますこれはCitrix Gatewayが StoreFrontおよび Endpoint Managementネットワークトラフィックを書き換えるために必要です

Citrix Gatewayウィザードを使してドメインアクセスを構成するには


2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3 [次へ]をクリックしウィザードの指に従って[クライアントレスアクセスの設定]ページを表します4 [クライアントレスアクセスのドメインの設定]をクリックし次のいずれかの操作をいます

bull 除外するドメインの覧を作成するには[除外するドメイン]をクリックしますbull 含まれるドメインの覧を作成するには[ドメインの許可]をクリックします

5 [ドメイン名]にドメイン名をし[追加]をクリックします6 覧に追加するドメインごとに順 5を繰り返し終了したら [OK]をクリックします7 Citrix Gatewayウィザードを使してアプライアンスの構成を続します

構成ユーティリティを使してドメイン設定を構成するには

構成ユーティリティのグローバル設定を使してドメイン覧を作成または変更することもできます


Citrix Gateway 130


2 詳細ペインの [クライアントレスアクセス]で[クライアントレスアクセスのドメインの構成]をクリックします

3 次のいずれかをいますbull 除外するドメインの覧を作成するには[除外するドメイン]をクリックしますbull 含まれるドメインの覧を作成するには[ドメインの許可]をクリックします

4 [ドメイン名]にドメイン名をし[追加]をクリックします5 リストに追加するドメインごとに順 4を繰り返し終了したら [OK]をクリックします



March 26 2020

Citrix Gatewayでは1つまたは複数の SharePoint 2003または SharePoint 2007または SharePoint 2013サイトのコンテンツを書き換えることができますこれによりユーザーは Citrix Gatewayプラグインを使せずにコンテンツを利できるようになります書き換えプロセスを正常に完了するにはネットワーク内の各SharePointサーバーのホスト名を使して Citrix Gatewayを構成する必要があります

Citrix Gatewayウィザードまたは構成ユーティリティを使してSharePointサイトのホスト名を構成できます

Citrix Gatewayウィザードでウィザード内を移動して設定を構成します[クライアントレスアクセスの構成]ページが表されたらSharePointサイトのWebアドレスをし[追加]をクリックします

Citrix Gatewayウィザードの実後に初めてWebサイトを追加したりSharePointを構成したりするには構成ユーティリティを使します

Citrix ADC GUIを使して SharePointのクライアントレスアクセスを構成するには

1 Citrix Gateway gt［グローバル設定］に移動します2 詳細ウィンドウの [クライアントレスアクセス]で[ SharePointのクライアントレスアクセスの構成]をクリックします

3 [SharePointのクライアントレスアクセス]の [SharePointサーバーのホスト名]に SharePointサイトのホスト名をし[追加]をクリックします

4 リストに追加する SharePointサイトごとに順 3を繰り返し終了したら [ OK ]をクリックします



Citrix Gateway 130

SharePointサイトをホームページとして設定する

March 26 2020

SharePoint サイトをユーザーのホームページとして設定する場合はセッションプロファイルを構成しSharePointサイトのホスト名をします

SharePointサイトをホームページとして構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[ホームページ]の横にある [グローバルに上書き]をクリックし

SharePointサイトの名前をします7 [クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします


セッションポリシーを完了したらユーザーグループ仮想サーバーまたはグローバルにバインドしますユーザーがログオンするとSharePoint Webサイトがホームページとして表されます


SharePoint 2007サーバーの名前解決を有効にする

March 26 2020

SharePoint 2007サーバーは応答の部として構成されたサーバー名をさまざまな URL内のホスト名として送信します構成済みの SharePointサーバー名が完全修飾ドメイン名 (FQDN)でない場合Citrix GatewayはSharePointサーバー名を使して IPアドレスを解決できず部のユーザー機能がタイムアウトしrdquoHTTP 11Gatewayのタイムアウトrdquoというエラーメッセージが表されるこれらの機能にはファイルのチェックインとチェックアウトWorkspace表およびユーザーがクライアントレスアクセスを使してログオンしているときの複数のファイルのアップロードなどがあります

この問題を解決するには次のいずれかをお試しください


Citrix Gateway 130

bull 名前解決の前に SharePointのホスト名が FQDNに変換されるようにCitrix Gatewayで DNSサフィックスを構成します

bull すべての SharePointサーバー名に対してCitrix Gatewayでローカル DNSエントリを構成しますbull FQDNを使するすべての SharePointサーバー名を変更しますたとえばSharePointintranetドメインではなく


1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[DNS]を展開し[DNSサフィックス]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [DNSサフィックス]でイントラネットドメイン名をサフィックスとしてし[作成][閉じる]の順にクリックします

追加するドメインごとにステップ 3を繰り返すことができます

Citrix Gateway上のすべての SharePointサーバー名に対してローカルDNSレコードを構成するには

1 構成ユーティリティのナビゲーションウィンドウで[DNS] gt [レコード]を展開し[アドレスレコード]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [ホスト名]にDNSアドレスレコードの SharePointホスト名をします4 [IPアドレス]に SharePointサーバーの IPアドレスをし[追加][作成][閉じる]の順にクリックします

Aレコードを追加するホスト名にはCNAMEレコードがあってはなりませんまたアプライアンス上に重複するAレコードが存在することもできません


クライアントレスアクセスパーシステント Cookieの有効化

March 26 2020

パーシステント CookieはSharePointサーバーでホストされているMicrosoft WordExcelPowerPointドキュメントを開いたり編集したりするなどSharePointの特定の機能にアクセスするために必要です

永続的なクッキーはユーザーデバイスに残りHTTPリクエストごとに送信されますCitrix Gatewayは永続的なCookieをユーザーデバイス上のプラグインに送信する前に暗号化しセッションが存在する限り定期的に Cookieを更新しますセッションが終了するとクッキーは古くなります


Citrix Gateway 130

Citrix Gatewayウィザードでは管理者は永続的な Cookieをグローバルに有効にできますセッションポリシーを作成してユーザーグループまたは仮想サーバーごとに永続的な Cookieを有効にすることもできます

パーシステント Cookieでは次のオプションを使できます

bull [許可]は永続的な Cookieを有効にしユーザーは SharePointに保存されているMicrosoftドキュメントを開いて編集できます

bull [拒否]は永続的な Cookieを無効にしユーザーが SharePointに保存されているMicrosoftドキュメントを開いて編集することはできません

bull Promptはセッション中に永続的な Cookieを許可または拒否するようユーザに要求します

ユーザーが SharePointに接続しない場合クライアントレスアクセスには永続的な Cookieは必要ありません


SharePointのクライアントレスアクセスの永続的な Cookieの構成

March 26 2020

SharePointのクライアントレスアクセスの永続的な Cookieはグローバルにまたはセッションポリシーの部として構成できます

永続的な Cookieをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセスパーシステント Cookie]の横にあるオプションを選択し[OK]をクリックします

セッションポリシーの部として永続的な Cookieを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセスパーシステント Cookie]の横にある

[グローバル上書き]をクリックしオプションを選択して [作成]をクリックします


Citrix Gateway 130



Web Interfaceを使したクライアントレスアクセスのユーザ設定の保存

March 26 2020

ユーザーがクライアントレスアクセスを使してWeb Interfaceからログオンしてログオフするとユーザーが複数回ログオンしたときに Cookieが永続的であってもCitrix Gatewayは前のセッションで設定したクライアント消費 Cookieを転送しません設定ユーティリティまたはコマンドラインを使してCookieをクライアントCookieのパターンセットにバインドしセッション間のWeb Interfaceの設定を保持できます

構成ユーティリティを使してWeb Interfaceの永続性の Cookieをバインドするには

1 構成ユーティリティの [構成]タブで[Citrix Gateway] gt [ポリシー]を展開し[クライアントレスアクセス]をクリックします

2 右側のウィンドウの [ポリシー]タブで[追加]をクリックします3 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイル]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントクッキー]タブの [クライアントクッキー]で [ns_cvpn_default_client_cookie]を選択し

[変更]をクリックします7 [パターンセットを設定]ダイアログボックスの [パターンを指定]領域の [パターン]で次のパラメータをします

bull [WIUser]をクリックし[追加]をクリックしますbull WINGデバイス]をクリックし[追加]をクリックしますbull WINGセッション]をクリックし[追加]をクリックします

8 [OK]をクリックし[作成]をクリックします9 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [式]に trueとし[作成]をクリックし[閉じる]をクリックします

コマンドラインを使してWeb Interfaceの永続性の Cookieをバインドするには

1 PuTTYなどのセキュアシェル（SSH）接続を使してCitrix Gatewayのコマンドラインにログオンします2 コマンドプロンプトで shellとします


Citrix Gateway 130

3 コマンドプロンプトで次のコマンドをしますbull バインドポリシーパッチセット ns_cvpn_default_client_cookie WIUserとしEnterキーを押します

bull バインドポリシーパセット ns_cvpn_default_client_cookie WINGデバイスしENTERキーを押します

bull バインドポリシーパセット ns_cvpn_default_client_cookie WINGセッションしEnterキーを押します



March 26 2020

複数のログオンオプションをユーザーに提供するように Citrix Gatewayを構成できますクライアント選択ページを構成することによりユーザーは次の選択肢を使して1つの場所からログオンできます

bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac OS Xbull Citrix Gateway plug-in for Javabull StoreFrontbull Web Interfacebull クライアントレスアクセス

ユーザーはCitrix Gatewayまたは仮想サーバーにバインドされた証明書の Webアドレスを使してCitrixGatewayにログオンしますセッションポリシーとプロファイルを作成することでユーザーが受け取るログオンの選択肢を決定できますCitrix Gatewayの構成法に応じて［クライアントの選択］ページには以下のログオン選択肢を表すアイコンが 3つまで表されます

bull ネットワークアクセスユーザーがWebブラウザーを使して Citrix Gatewayに初めてログオンし［ネットワークアクセス］を選択するとダウンロードページが表されますユーザーが「ダウンロード」をクリックするとプラグインがユーザーデバイスにダウンロードおよびインストールされますダウンロードとインストールが完了するとアクセスインターフェイスが表されます新しいバージョンの Citrix Gatewayをインストールしたり古いバージョンに戻したりするとCitrix Gateway atewayプラグインがアプライアンス上のバージョンにサイレントでアップグレードまたはダウングレードされますユーザーがMacのCitrix Gatewayプラグインを使して接続する場合ユーザーのログオン時に新しいアプライアンスのバージョンが検出されるとプラグインはサイレントモードでアップグレードされますこのバージョンのプラグインではサイレントダウングレードはわれません

bull Web InterfaceまたはStoreFrontユーザーがログオンするWeb Interfaceを選択すると[Web Interface]ページが表されますユーザーは公開アプリケーションまたは仮想デスクトップにアクセスできますユ


Citrix Gateway 130

ーザーが StoreFrontを選択してログオンするとReceiverが開きアプリケーションやデスクトップにアクセスできます注StoreFrontをクライアントとして構成するとアプリケーションおよびデスクトップはアクセスインターフェイスの左ペインに表されません

bull クライアントレスアクセスユーザがクライアントレスアクセスを選択してログオンするとアクセスインターフェイスまたはカスタマイズされたホームページが表されますアクセスインターフェイスではユーザーはファイル共有Webサイトに移動しOutlook Web Accessを使できます

ユーザーが Javaの Citrix Gatewayプラグインを選択するとプラグインが起動しユーザーがログオンします選択ページは表されません

Secure Browse を使するとユーザーは iOS デバイスから Citrix Gateway 経由で接続できますSecureBrowseを有効にした場合ユーザーが Secure Hubを使してログオンするとSecure Browseはクライアント選択ページを無効にします


ログオン時のクライアント選択ページの表

March 26 2020

クライアント選択オプションを有効にするとCitrix Gatewayへの認証に成功すると1つの WebページからCitrix GatewayプラグインWeb InterfaceReceiverまたはクライアントレスアクセスを使してログオンできますログオンに成功するとWebページにアイコンが表されユーザーは接続を確する法を選択できますまた選択ページに表されるようにJavaの Citrix Gatewayプラグインを構成することもできます

エンドポイント分析を使したりアクセスシナリオのフォールバックを実装したりすることなくクライアントの選択を有効にできますクライアントセキュリティ式を定義しない場合ユーザーは Citrix Gatewayで構成された設定の接続オプションを受け取りますユーザーセッションにクライアントセキュリティ式が存在しユーザーデバイスがエンドポイント分析スキャンに失敗した場合Web Interfaceが設定されている場合選択ページにはWebInterfaceを使するオプションのみが表されますそれ以外の場合ユーザーはクライアントレスアクセスを使してログオンできます

クライアントの選択肢はグローバルに構成するかセッションプロファイルとポリシーを使して構成します

重要クライアントの選択を構成するときは検疫グループを構成しないでくださいエンドポイント分析スキャンに失敗し隔離されたユーザーデバイスはエンドポイントスキャンに合格したユーザーデバイスと同様に扱われます


Citrix Gateway 130

クライアント選択オプションをグローバルに有効にするには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [全般]タブで[クライアントの選択]をクリックし[OK]をクリックします

セッションポリシーの部としてクライアントの選択を有効にするには

またセッションポリシーの部としてクライアントの選択肢を構成しユーザーグループ仮想サーバーにバインドすることもできます


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします7 [全般]タブで[クライアントの選択肢]の横にある [グローバルに上書き][クライアントの選択肢][OK]

[作成]の順にクリックします8 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします



March 26 2020

セッションプロファイルとポリシーを使してクライアントを選択できるようにするだけでなくユーザーソフトウェアの設定を構成する必要がありますたとえばユーザーが Citrix GatewayプラグインStoreFrontまたはWeb Interfaceまたはクライアントレスアクセスを使してログオンできるようにする場合です3つのオプションとクライアントの選択をすべて有効にする 1つのセッションプロファイルを作成します次にプロファイルをアタッチして True valueに設定された式を使してセッションポリシーを作成します次にセッションポリシーを仮想サーバーにバインドします

セッションポリシーとプロファイルを作成する前にユーザーの承認グループを作成する必要があります


Citrix Gateway 130

承認グループを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をします4 [ユーザー]タブでユーザーを選択し各ユーザーの [追加]をクリックし[作成]をクリックして[閉じる]をクリックします

次の順はCitrix GatewayプラグインStoreFrontおよびクライアントレスアクセスを使したクライアント選択のセッションプロファイルの例です

クライアント選択のセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をします4 [クライアントエクスペリエンス]タブで次の操作をいます

a) [ホームページ]の横にある [グローバルに上書き]をクリックし[ホームページの表]をオフにしますこれによりアクセスインターフェイスが無効になります

b) [クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[OFF]を選択しますc) [プラグインの種類]の横にある [グローバルにオーバーライド]をクリックし[WindowsMac OS X]を選択します

d) [詳細設定]をクリックし[クライアント選択肢]の横にある [グローバル上書き]をクリックし[クライアント選択肢]をクリックします

5 [セキュリティ]タブの [既定の承認操作]の横にある [グローバルに上書き]をクリックし[許可]を選択します

6 [セキュリティ]タブで[詳細設定]をクリックします7 [承認グループ]の [グローバルに上書き]をクリックし[追加]をクリックしてグループを選択します8 [公開アプリケーション]タブで次の操作をいます

a) ICAプロキシの横にある「グローバルオーバーライド」をクリックし「OFF」を選択しますb)「Web Interfaceアドレス」の横にある「グローバルに上書き」をクリックしStoreFrontのWebアドレス（httpipAddressCitrixなど）をします

c) [Web Interfaceポータルモード]の横にある [グローバルに上書き]をクリックし[コンパクト]を選択します

d) [シングルサインオンドメイン]の横にある [グローバル上書き]をクリックしドメインの名前をします


クライアントとして Citrix Gatewayプラグインを使する場合は［クライアントエクスペリエンス］タブの［プラ


Citrix Gateway 130

グインの種類］で［Java］を選択しますこの選択肢を選択する場合はイントラネットアプリケーションを構成しインターセプションモードを [プロキシ]に設定する必要があります

セッションプロファイルを作成したらセッションポリシーを作成しますポリシー内でプロファイルを選択し式を True valueに設定します

StoreFrontをクライアント選択として使するにはCitrix Gatewayで Secure Ticket Authority（STA）も構成する必要がありますSTAは仮想サーバにバインドされます

注 StoreFrontを実しているサーバーが使できない場合Citrix Virtual Apps選択肢は選択肢ページに表されません

STAサーバをグローバルに構成するには



3 [STAサーバのバインドバインド解除]ダイアログボックスで[追加]をクリックします4 [STAサーバーの構成]ダイアログボックスの [URL]にSTAサーバーのWebアドレスをし[作成]をクリックします

5 順 3と 4を繰り返して STAサーバを追加し［OK］をクリックします



2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [公開アプリケーション] タブの [Secure Ticket Authority] の [アクティブ] でSTA サーバーを選択し


また[公開アプリケーション]タブで STAサーバを追加することもできます



March 26 2020


Citrix Gateway 130

SmartAccessを使するとCitrix Gatewayはエンドポイント分析スキャンの結果に基づいてユーザーデバイスに許可されるアクセス法を動的に決定できますアクセスシナリオのフォールバックはユーザーデバイスが最初のエンドポイント分析スキャンに合格しなかった場合にCitrix Workspaceアプリを使して CitrixGatewayプラグインからWeb Interfaceまたは StoreFrontにフォールバックできるようにすることでこの機能をさらに拡張します

アクセスシナリオのフォールバックを有効にするにはCitrix Gatewayへのログオン時に別のアクセス法をユーザーが受け取るかどうかを決定する認証後のポリシーを構成しますこの認証後のポリシーはグローバルにまたはセッションプロファイルの部として設定するクライアントセキュリティ式として定義されますセッションプロファイルを構成するとプロファイルがセッションポリシーに関連付けられユーザーグループまたは仮想サーバーにバインドされますアクセスシナリオのフォールバックを有効にするとCitrix Gatewayはユーザー認証後にエンドポイント分析スキャンを開始しますフォールバック認証後のスキャンの要件を満たさないユーザーデバイスの結果は次のとおりです

bull クライアントの選択が有効になっている場合ユーザーは Citrix Workspaceアプリのみを使してWebInterfaceまたは StoreFrontにログオンできます

bull クライアントレスアクセスとクライアントの選択が無効になっている場合Web Interface またはStoreFrontのみへのアクセスを提供するグループにユーザーを隔離できます

bull Citrix GatewayでクライアントレスアクセスとWeb Interfaceまたは StoreFrontが有効でICAプロキシが無効になっている場合ユーザーはクライアントレスアクセスに戻ります

bull Web Interfaceまたは StoreFrontが構成されておらずクライアントレスアクセスが許可されるように設定されている場合ユーザーはクライアントレスアクセスに戻ります

クライアントレスアクセスを無効にするとアクセスシナリオフォールバックに次の設定の組み合わせを設定する必要があります

bull フォールバック認証後のスキャンのクライアントセキュリティパラメータを定義しますbull Web Interfaceのホームページを定義しますbull クライアントの選択を無効にしますbull ユーザーデバイスがクライアントのセキュリティチェックに失敗した場合ユーザーは隔離グループに配置されます隔離グループではWeb Interfaceまたは StoreFrontおよび公開アプリケーションのみにアクセスできます



March 26 2020

アクセスシナリオのフォールバックに Citrix Gatewayを構成するには以下の法でポリシーとグループを作成する必要があります


Citrix Gateway 130

bull エンドポイント分析スキャンが失敗した場合にユーザーを配置する隔離グループを作成しますbull エンドポイント分析スキャンが失敗した場合に使するグローバルWeb Interfaceまたは StoreFront設定を作成します

bull グローバル設定を上書きするセッションポリシーを作成しセッションポリシーをグループにバインドしますbull エンドポイントの分析が失敗した場合に適されるグローバルクライアントセキュリティポリシーを作成します

アクセスシナリオフォールバックを設定する場合は次の注意事項に従ってください

bull クライアントの選択肢またはアクセスシナリオのフォールバックを使するにはすべてのユーザーに対してEndpoint Analysisプラグインが必要ですエンドポイント分析を実できない場合またはスキャン中に[スキャンをスキップ]を選択するとユーザーはアクセスを拒否されます注スキャンをスキップするオプションはCitrix Gateway 101ビルド 1201316eでは削除されています

bull クライアント選択を有効にするとユーザーデバイスがエンドポイント分析スキャンに失敗するとユーザーは検疫グループに配置されますユーザーはCitrix Gatewayプラグインまたは Citrix Workspaceアプリを使してWeb Interfaceまたは StoreFrontに引き続きログオンできます注クライアントの選択を有効にする場合は隔離グループを作成しないことをお勧めしますエンドポイント分析スキャンに失敗し隔離されたユーザーデバイスはエンドポイントスキャンに合格したユーザーデバイスと同様に処理されます

bull エンドポイント分析スキャンが失敗しユーザーが検疫グループにった場合検疫グループにバインドされたポリシーはその検疫グループにバインドされたポリシーと同等または低い優先順位を持つユーザーに直接バインドされたポリシーがない場合にのみ有効になります

bull アクセスインターフェイスとWeb Interfaceまたは StoreFrontには異なるWebアドレスを使できますホームページを構成するとCitrix Gatewayプラグインのアクセスインターフェイスのホームページが優先されWeb Interfaceユーザーのホームページが優先されますStoreFrontではCitrix Workspaceアプリのホームページが優先されます

検疫グループを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をし[作成]をクリックし[閉じる]をクリックします重要検疫グループの名前はユーザーが属するドメイングループの名前と致してはなりません検疫グループが Active Directoryグループ名と致する場合ユーザーデバイスがエンドポイント分析のセキュリティスキャンに合格した場合でもユーザーは検疫されます

グループを作成した後ユーザーデバイスがエンドポイント分析スキャンに失敗した場合にWeb Interfaceにフォールバックするように Citrix Gatewayを構成します


Citrix Gateway 130

ユーザー接続を隔離するための設定を構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバル Citrix Gateway設定］ダイアログボックスの［公開アプリケーション］タブで［ICAプロキシ］の横にある［OFF］を選択します

4「Web Interfaceアドレス」の横にStoreFrontまたはWeb InterfaceのWebアドレスをします5 [シングルサインオンドメイン]の横に Active Directoryドメインの名前をし[OK]をクリックします

グローバル設定を構成したらグローバル ICAプロキシ設定を上書きするセッションポリシーを作成しセッションポリシーを隔離グループにバインドします

Accessシナリオフォールバックのセッションポリシーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [公開アプリケーション]タブの [ICAプロキシ]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします


セッションポリシーを作成したらそのポリシーを隔離グループにバインドします

セッションポリシーを隔離グループにバインドするには


2 詳細ペインでグループを選択し[開く]をクリックします3 [セッション]をクリックします4 [ポリシー]タブで[セッション]を選択し[ポリシーの挿]をクリックします5 [ポリシー名]でポリシーを選択し[OK]をクリックします

Citrix GatewayでWeb Interfaceまたは StoreFrontを有効にするセッションポリシーとプロファイルを作成したらグローバルクライアントセキュリティポリシーを作成します


Citrix Gateway 130

グローバルクライアントセキュリティポリシーを作成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブで[詳細設定]をクリックします4 [クライアントセキュリティ]に式をしますシステム式の設定の詳細についてはシステム式の設定および複合クライアントセキュリティ式の設定を参照してください

5 [隔離グループ]でグループプロシージャで構成したグループを選択し[OK]を 2回クリックします


Citrix Gatewayプラグインの接続を構成する

March 26 2020


bull ユーザーがアクセスを許可するドメインを定義しますbull アドレスプール (イントラネット IP)などユーザーの IPアドレスを構成しますbull タイムアウト設定を構成するbull シングルサインオンを構成するbull クライアントインターセプションの設定bull 分割トンネリングの設定bull プロキシサーバーを介した接続の構成bull Citrix Gateway経由で接続するようにユーザーソフトウェアを構成するbull モバイルデバイスのアクセスを構成します

ほとんどのユーザーデバイス接続はセッションポリシーの部であるプロファイルを使して構成しますイントラネットアプリケーション事前認証およびトラフィックポリシーを使してユーザーデバイスの接続設定を定義することもできます

注 Windows VPNプラグインと EPAプラグインはさまざまな操作のためにテレメトリデータを収集しますこの機能を無効にするにはクライアントマシンで次の操作をいます

レジストリ「HKLMソフトウェア Citrixセキュアアクセスクライアント無効化 GA」を REG_DWORDの種類を 1に設定します



Citrix Gateway 130


March 26 2020

グローバルレベルまたは仮想サーバーレベルごとに特定の時点で Citrix Gatewayに接続できるユーザーの最数を設定できますアプライアンスに接続するユーザーの数が構成値を超えるとCitrix Gatewayでセッションは作成されませんユーザー数が許可する数を超えた場合ユーザーにはエラーメッセージが表されます

グローバルユーザー制限を設定するには

ユーザ制限をグローバルに設定する場合制限はシステム上の異なる仮想サーバへのセッションを確するすべてのユーザに適されますユーザーセッション数が設定した値に達するとCitrix Gateway上の仮想サーバー上で新しいセッションを確することはできません

Citrix Gatewayのデフォルトの認証タイプを設定するときにグローバルレベルで最ユーザー数を設定します


2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [グローバル認証設定]ダイアログボックスの [最ユーザー数]にユーザー数をし[OK]をクリックします

仮想サーバーごとのユーザー制限を設定するには

またシステム上の各仮想サーバーにユーザー制限を適することもできます仮想サーバーごとのユーザー制限を構成する場合制限は特定の仮想サーバーとのセッションを確するユーザーにのみ適されます他の仮想サーバーとのセッションを確するユーザーはこの制限の影響を受けません


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [最ユーザー数]にユーザー数をし[OK]をクリックします



March 26 2020


Citrix Gateway 130

指定した分数の間接続にアクティビティがない場合に強制的に切断されるように Citrix Gatewayを構成できますセッションがタイムアウトする（切断する）1分前にセッションが終了することをすアラートがユーザーに表されますセッションが終了するとユーザーは再度ログオンする必要があります

タイムアウトのオプションには次の 3つがあります

bull 強制タイムアウトこの設定を有効にするとユーザーの操作に関係なくタイムアウト間隔が経過するとCitrix Gatewayでセッションが切断されますタイムアウト間隔が経過したときに切断が発するのを防ぐためにユーザーが実できるアクションはありませんこの設定はCitrix GatewayプラグインCitrixWorkspaceアプリSecure HubまたはWebブラウザを使して接続するユーザーに対して適されますデフォルト設定は 30分です値を 0にすると設定は無効になります

bull セッションタイムアウトこの設定を有効にすると指定した間隔でネットワークアクティビティが検出されなかった場合Citrix Gatewayはセッションを切断しますこの設定はCitrix GatewayプラグインCitrix WorkspaceアプリCitrix Secure HubまたはWebブラウザを使して接続するユーザーに適されますデフォルトのタイムアウト設定は 30分です値を 0にすると設定は無効になります

bull アイドルセッションのタイムアウトユーザーがマウスキーボードタッチ操作などの操作がわれなかった場合にCitrix Gatewayプラグインがアイドルセッションを終了するまでの時間この設定はCitrixGatewayプラグインを使して接続するユーザーのみに適されますデフォルト設定は 30分です値を0にすると設定は無効になります

注 Microsoft Outlookなどの部のアプリケーションはユーザーの介なしにネットワークトラフィックプローブを動的に電メールサーバーに送信しますアイドルセッションタイムアウトを「セッションタイムアウト」に設定してユーザーデバイス上で無のセッションが適切な時間内にタイムアウトするように構成することをお勧めします

これらの設定を有効にするには1〜 65536の値をしタイムアウト間隔の分数を指定しますこれらの設定を複数有効にすると最初のタイムアウト間隔が経過するとユーザーデバイスの接続が閉じます

タイムアウト設定はグローバル設定を構成するかセッションプロファイルを使して構成しますプロファイルをセッションポリシーに追加するとポリシーはユーザーグループまたは仮想サーバーにバインドされますタイムアウト設定をグローバルに構成すると設定がすべてのユーザーセッションに適されます



March 26 2020

強制タイムアウトを設定すると指定した時間が経過するとCitrix Gatewayプラグインが動的に切断されます強制タイムアウトはグローバルに設定することもセッションポリシーの部として設定することもできます


Citrix Gateway 130

グローバル強制タイムアウトを構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワークの構成]タブで[詳細設定]をクリックします4 [強制タイムアウト (分)]にユーザーが接続を維持できる分数をします5 [強制タイムアウト警告 (分)]に接続が切断されることをユーザーに警告するまでの時間を分単位でし[

OK]をクリックします

セッションポリシー内で強制タイムアウトを構成するには

強制タイムアウトを受け取るユーザーをさらに制御するにはセッションポリシーを作成しそのポリシーをユーザーまたはグループに適します


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [ネットワーク構成]タブで[詳細設定]をクリックします7 [タイムアウト]の [グローバルに上書き]をクリックし[強制タイムアウト (分)]にユーザーが接続を維持できる分数をします

8 [強制タイムアウト警告 (分)]の横にある [グローバル上書き]をクリックし接続が切断されることについてユーザーに警告する時間 (分)をします［OK］を 2回クリックします

9 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][ True value ][式の追加 ][作成][閉じる]の順にクリックします



March 26 2020

構成ユーティリティを使してセッションおよびクライアントのタイムアウト設定をグローバルに設定したりセッションポリシーを作成したりできますセッションポリシーとプロファイルを作成するときは式をTrueに設定します


Citrix Gateway 130

セッションまたはクライアントのアイドルタイムアウトをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで次のいずれかまたは両の操作をいます

bull [セッションタイムアウト (分)]に分数をしますbull [クライアントアイドルタイムアウト (分)]に分数をし[ OK]をクリックします

セッションポリシーを使してセッションまたはクライアントのアイドルタイムアウト設定を構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで次のいずれかまたは両の操作をいます

bull [セッションタイムアウト (分)]の横にある [グローバル上書き]をクリックし分数をして [作成]をクリックします

bull [クライアントアイドルタイムアウト (分)]の横の [グローバル上書き]をクリックし分数をして [作成]をクリックします

7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [ 全般][ True value ][式の追加 ][作成][閉じる]の順にクリックします



March 26 2020

ユーザーが内部ネットワークのリソースにアクセスできるように Citrix Gatewayを構成できます分割トンネリングを無効にするとユーザーデバイスからのすべてのネットワークトラフィックが Citrix Gatewayに送信され内部ネットワークリソースへのトラフィックの通過を許可するかどうかが承認ポリシーによって決定されます分割トンネリングを有効にすると内部ネットワーク宛てのトラフィックのみがユーザーデバイスによって傍受されCitrix Gatewayに送信されますCitrix Gatewayがインターセプトする IPアドレスを構成するにはイントラネットアプリケーションを使します


Citrix Gateway 130

Windowsの Citrix Gatewayプラグインを使している場合はインターセプトモードを透過モードに設定しますJava Citrix Gatewayプラグインを使している場合はインターセプトモードをプロキシに設定しますインターセプションモードを透過モードに設定すると以下を使してネットワークリソースへのアクセスを許可できます

bull 単の IPアドレスとサブネットマスクbull IPアドレスの範囲

インターセプションモードをプロキシに設定すると宛先および送信元 IPアドレスおよびポート番号を設定できます


1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway][リソース]の順に展開し[イントラネットアプリケーション]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 ネットワークアクセスを許可するためのパラメータをし[作成][閉じる]の順にクリックします



April 9 2020

分割トンネリングを有効にするとCitrix Gatewayプラグインが Citrix Gatewayに不要なネットワークトラフィックを送信しないようにできます

分割トンネリングを有効にしない場合Citrix GatewayプラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャしVPNトンネル経由で Citrix Gatewayに送信します

分割トンネリングを有効にするとCitrix GatewayプラグインはVPNトンネルを介して Citrix Gatewayによって保護されたネットワーク宛てのトラフィックのみを送信しますCitrix Gatewayプラグインは保護されていないネットワーク宛てのネットワークトラフィックを Citrix Gatewayに送信しません

Citrix Gatewayプラグインが起動するとCitrix Gatewayからイントラネットアプリケーションのリストを取得しますCitrix Gatewayプラグインはユーザーデバイスからネットワーク上で送信されるすべてのパケットを調べパケット内のアドレスをイントラネットアプリケーションのリストと較しますパケット内の宛先アドレスがイントラネットアプリケーションのいずれか内にある場合Citrix Gatewayプラグインは VPNトンネルを介してCitrix Gatewayにパケットを送信します宛先アドレスが定義済みのイントラネットアプリケーションにない場合パケットは暗号化されずユーザーデバイスはパケットを適切にルーティングします分割トンネリングを有効にするとイントラネットアプリケーションによってインターセプトされるネットワークトラフィックが定義されます


Citrix Gateway 130

注ユーザーが Citrix Workspaceアプリを使してサーバーファーム内の公開アプリケーションに接続する場合分割トンネリングを構成する必要はありません


イントラネットアプリケーションの詳細についてはクライアントインターセプションの設定を参照してください

分割トンネリングはセッションポリシーの部として設定します



2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします3 [クライアントエクスペリエンス]タブで[分割トンネル]の横にある [グローバル上書き]を選択しオプションを選択して [ OK ]を 2回クリックします



たとえばネットワークリソースへのアクセスを許可する認可ポリシーがあるとします分割トンネリングが ONに設定されておりイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックを送信するように構成していないCitrix Gatewayにこのような構成がある場合リソースへのアクセスは許可されますがユーザーはリソースにアクセスできません

認証ポリシーによってネットワークリソースへのアクセスが拒否され分割トンネリングが ONに設定されていてイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合Citrix Gateway atewayプラグインは Citrix Gatewayにトラフィックを送信しますがリソースへのアクセスは拒否されます



Citrix Gateway 130


March 26 2020

イントラネットアプリケーションを使してCitrix Gateway上のユーザー接続の傍受ルールを構成しますデフォルトではアプライアンスでシステム IPアドレスマッピング IPアドレスまたはサブネット IPアドレスを設定するとこれらの IPアドレスに基づいてサブネットルートが作成されますイントラネットアプリケーションはこれらのルートに基づいて動的に作成され仮想サーバーにバインドできます分割トンネリングを有効にする場合はクライアントインターセプションが発するようにイントラネットアプリケーションを定義する必要があります

構成ユーティリティを使してイントラネットアプリケーションを構成できますイントラネットアプリケーションをユーザーグループまたは仮想サーバーにバインドできます

分割トンネリングを有効にしユーザーがWorxWebまたはWorxMailを使して接続する場合クライアント傍受を構成するときにCitrix Endpoint Managementと Exchangeサーバーの IPアドレスを追加する必要があります分割トンネリングを有効にしない場合はイントラネットアプリケーションで Endpoint ManagementとExchangeの IPアドレスを構成する必要はありません


Citrix Gatewayプラグインのイントラネットアプリケーションの構成

March 26 2020

リソースへのユーザーアクセスのイントラネットアプリケーションを作成するには次の項を定義します

bull 1つの IPアドレスbull IPアドレスの範囲bull ホスト名

Citrix Gateway atewayでイントラネットアプリケーションを定義するとWindowsの Citrix Gatewayプラグインはリソース宛てのユーザーのトラフィックをインターセプトしCitrix Gateway経由でトラフィックを送信します

イントラネットアプリケーションを構成する場合は次の点を考慮してください

bull 次の条件が満たされている場合イントラネットアプリケーションを定義する必要はありませんndash インターセプションモードが透過モードに設定されているndash ユーザーがWindowsの Citrix Gatewayプラグインを使して Citrix Gatewayに接続しているndash 分割トンネリングは無効です


Citrix Gateway 130

bull ユーザーが Java Citrix Gatewayプラグインを使して Citrix Gatewayに接続する場合はイントラネットアプリケーションを定義する必要がありますCitrix Gatewayプラグインはイントラネットアプリケーションで定義されたネットワークリソースへのトラフィックのみをインターセプトしますユーザーがこのプラグインで接続する場合はインターセプションモードをプロキシに設定します

イントラネットアプリケーションを構成するときは接続に使するプラグインソフトウェアのタイプに対応する傍受モードを選択する必要があります

注意イントラネットアプリケーションはプロキシインターセプションと透過インターセプションの両に対して構成できませんWindowsの Citrix Gatewayプラグインと Javaの Citrix Gatewayプラグインの両で使されるネットワークリソースを構成するには2つのイントラネットアプリケーションポリシーを構成しそのポリシーをユーザーグループ仮想サーバーまたは Citrix Gatewayグローバルにバインドします

1つの IPアドレスに対してイントラネットアプリケーションを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にプロファイルの名前をします4 [イントラネットアプリケーションの作成]ダイアログボックスで[透明]を選択します5 [宛先の種類]で[ IPアドレス]と [ ネットマスク]を選択します 6 [プロトコル]でネットワークリソースに適するプロトコルを選択します7 [ IPアドレス]に IPアドレスをします8 [ネットマスク]に「サブネットマスク」とし[作成][閉じる]の順にクリックします

IPアドレス範囲を構成するには

Web電メールファイル共有などネットワークに複数のサーバーがある場合はネットワークリソースの IP範囲を含むネットワークリソースを構成できますこの設定によりユーザーは IPアドレス範囲に含まれるネットワークリソースにアクセスできます


2 詳細ウィンドウで[ 追加]をクリックします 3 [名前]にプロファイルの名前をします4 [プロトコル]でネットワークリソースに適するプロトコルを選択します5 [イントラネットアプリケーションの作成]ダイアログボックスで[透明]を選択します6「宛先の種類」で「IPアドレスの範囲」を選択します7 [ IP開始]に開始 IPアドレスをし[IP終了]に終了 IPアドレスをし[作成][ 閉じる]の順にクリックします


Citrix Gateway 130

ホスト名のイントラネットアプリケーションを作成するには


2 詳細ウィンドウで[ 追加]をクリックします 3 [名前]にプロファイルの名前をします4 [イントラネットアプリケーションの作成]ダイアログボックスで[透明]を選択します5「デスティネーションタイプ」でホスト名を選択します6 [プロトコル]で[ ANY]を選択し[作成]をクリックして [閉じる]をクリックします

注意点

1 ワイルドカードホスト名がサポートされていますホスト名「examplecom」のイントラネットアプリケーションが構成されている場合a1examplecomb2examplecomなどはトンネリングされます

2 ホスト名ベースのイントラネットアプリケーションは分割トンネリングがONに設定されている場合にのみ機能します

3 ホスト名ベースのイントラネットアプリケーションはWindows VPNプラグインでのみサポートされます


Java Citrix Gatewayプラグインのイントラネットアプリケーションの構成

March 26 2020

ユーザーが Javaの Citrix Gatewayプラグインを使して接続する場合はイントラネットアプリケーションを構成し傍受モードをプロキシに設定する必要がありますCitrix Gatewayプラグインはプロファイルで指定されたユーザーデバイスのループバック IPアドレスとポート番号を使してトラフィックをインターセプトします

ユーザーがWindowsベースのデバイスから接続している場合Citrix GatewayプラグインはアプリケーションHOST名を設定してプロファイルで指定されたループバック IPアドレスとポートにアクセスすることでHOSTファイルの変更を試みますHOSTファイルを変更するにはユーザーデバイスに対する管理者権限が必要です

ユーザーがWindows以外のデバイスから接続する場合はイントラネットアプリケーションプロファイルで指定された送信元 IPアドレスとポート値を使してアプリケーションを動で構成する必要があります

Java Citrix Gatewayプラグインにイントラネットアプリケーションを構成するには



Citrix Gateway 130



4 [プロキシ]をクリックします

5 [宛先 IPアドレス]と [宛先ポート]に宛先 IPアドレスとポートをします

6 [送信元 IPアドレス]と [送信元ポート]に送信元 IPアドレスとポートをします

注送信元 IPアドレスはループバック IPアドレス 127001に設定する必要がありますIPアドレスを指定しない場合はループバック IPアドレスが使されますポート値をしない場合は宛先ポート値が使されます



March 26 2020






2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします3 [ネットワーク構成]タブで次のいずれかの操作をいます

bull DNSサーバーを構成するには[DNS仮想サーバー]の横にある [グローバル上書き]をクリックしサーバーを選択して [ OK]をクリックします

bull WINSサーバーを構成するには[WINSサーバー IP]の横にある [グローバル上書き]をクリックしIPアドレスをして [ OK]をクリックします


Citrix Gateway 130



March 26 2020

ユーザーデバイスは内部ネットワークにアクセスするためにプロキシサーバーを介して接続できますCitrixGatewayはHTTPSSLFTPおよび SOCKSプロトコルをサポートしていますユーザー接続のプロキシサポートを有効にするにはCitrix Gatewayで設定を指定しますCitrix Gatewayのプロキシサーバーが使する IPアドレスとポートを指定できますプロキシサーバーは内部ネットワークへのすべてのそれ以降の接続のためのフォワードプロキシとして使されます

ユーザー接続のプロキシサポートを構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [プロキシ]タブの [プロキシ設定]で[オン]を選択します5 プロトコルの場合はIPアドレスとポート番号をし[ OK]をクリックします

注意 Applianceを選択した場合はセキュアおよびセキュアでない HTTP接続のみをサポートするプロキシサーバーを構成できます

Citrix Gatewayでプロキシサポートを有効にした後プロトコルに対応するプロキシサーバーの構成の詳細をユーザーデバイス上で指定します

プロキシサポートを有効にするとCitrix Gatewayによってプロキシサーバーの詳細がクライアントのWebブラウザーに送信されブラウザーでプロキシ構成が変更されますユーザーデバイスが Citrix Gatewayに接続するとユーザーデバイスはプロキシサーバーと直接通信しユーザーのネットワークに接続できます

Citrix Gatewayのすべてのプロトコルを使するように 1つのプロキシサーバーを構成するには

Citrix Gatewayで使されるすべてのプロトコルをサポートするように1つのプロキシサーバーを構成できますこの設定ではすべてのプロトコルに対して 1つの IPアドレスとポートの組み合わせを提供します




Citrix Gateway 130

3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [プロキシ]タブの [プロキシ設定]で[オン]を選択します5 プロトコルの場合はIPアドレスとポート番号をします6 [すべてのプロトコルに同じプロキシサーバーを使する]をクリックし[ OK]をクリックします

分割トンネリングを無効にしすべてのプロキシ設定を Onに設定するとプロキシ設定がユーザデバイスに伝播されますプロキシ設定が Applianceに設定されている場合設定はユーザーデバイスには反映されません

Citrix Gatewayはユーザーデバイスの代わりにプロキシサーバーに接続しますプロキシ設定はユーザーのブラウザには反映されないためユーザーデバイスとプロキシサーバー間の直接通信はできません

Citrix Gatewayをプロキシサーバーとして構成するには

Citrix Gatewayをプロキシサーバーとして構成する場合サポートされるプロトコルは安全でない安全な HTTPだけです


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [プロキシ]タブの [プロキシ設定]で[アプライアンス]を選択します5 プロトコルの場合はIPアドレスとポート番号をし[ OK]をクリックします



March 26 2020

場合によってはCitrix Gatewayプラグインを使して接続するユーザーにCitrix Gatewayの意の IPアドレスが必要ですたとえばSamba環境ではマップされたネットワークドライブに接続する各ユーザーは異なるIPアドレスから発信されているようにえる必要がありますグループのアドレスプール（IPプールとも呼ばれます）を有効にするとCitrix Gatewayで各ユーザーに意の IPアドレスエイリアスを割り当てることができます

アドレスプールはイントラネット IPアドレスを使して構成します次のタイプのアプリケーションではIPプールから取得される意の IPアドレスを使する必要があります

bull ボイスオーバー IPbull アクティブな FTPbull インスタントメッセージbull セキュアシェル（SSH）


Citrix Gateway 130

bull コンピュータのデスクトップに接続するための仮想ネットワークコンピューティング（VNC）bull クライアントデスクトップに接続するためのリモートデスクトップ (RDP)

Citrix Gatewayに接続するユーザーに内部 IPアドレスを割り当てるように Citrix Gatewayを構成できます固定IPアドレスをユーザに割り当てたりグループ仮想サーバまたはシステムにグローバルに割り当てたりする IPアドレスの範囲を指定できます

Citrix Gatewayでは内部ネットワークの IPアドレスをリモートユーザーに割り当てることができますリモートユーザは内部ネットワーク上の IPアドレスでアドレス指定できますIPアドレスの範囲を使することを選択した場合システムは要求に応じてその範囲の IPアドレスをリモートユーザに動的に割り当てます

アドレスプールを設定する場合は次の点に注意してください

bull 割り当てられた IPアドレスは正しくルーティングされる必要があります正しいルーティングをうために次の点を考慮してください

ndash 分割トンネリングを有効にしない場合はIPアドレスを Network Address Translation（NATネットワークアドレス変換）デバイス経由でルーティングできることを確認してください

ndash イントラネット IPアドレスを持つユーザー接続によってアクセスされるサーバーにはそれらのネットワークに到達するための適切なゲートウェイが構成されている必要があります

ndash ユーザーソフトウェアからのネットワークトラフィックが内部ネットワークにルーティングされるようにCitrix Gatewayでゲートウェイまたは静的ルートを構成します

bull IPアドレス範囲を割り当てるときは連続したサブネットマスクだけを使できます範囲のサブセットは下位レベルのエンティティに割り当てることができますたとえばIPアドレス範囲が仮想サーバにバインドされている場合は範囲のサブセットをグループにバインドします

bull IPアドレス範囲はバインディングレベル内の複数のエンティティにバインドすることはできませんたとえばグループにバインドされているアドレス範囲のサブセットを 2番のグループにバインドすることはできません

bull Citrix Gatewayではユーザーセッションでアクティブに使されている IPアドレスを削除またはバインド解除することはできません

bull 内部ネットワーク IPアドレスは次の階層を使してユーザーに割り当てられますndash ユーザーの直接バインドndash グループに割り当てられたアドレスプールndash 仮想サーバに割り当てられたアドレスプールndash アドレスのグローバル範囲

bull アドレス範囲の割り当てに使できるのは連続したサブネットマスクだけですただし割り当てられた範囲のサブセットはさらに下位レベルのエンティティに割り当てられる場合がありますバインドされたグローバルアドレス範囲は次の範囲にバインドできます

ndash 仮想サーバndash グループndash ユーザー

bull バインドされた仮想サーバアドレス範囲は次のサブセットにバインドできますndash グループ


Citrix Gateway 130

ndash ユーザー

バインドされたグループアドレス範囲はユーザーにバインドされたサブセットを持つことができます

IPアドレスがユーザーに割り当てられるとアドレスプールの範囲がなくなるまでユーザーの次回のログオンにアドレスが予約されますアドレスが使い果たされるとCitrix Gatewayからログオフしたユーザーの IPアドレスを最もく再利します

アドレスを再利できずすべてのアドレスがアクティブに使されている場合Citrix Gatewayはユーザーのログオンを許可しませんこの状況を回避するには他のすべての IPアドレスが使できない場合にマッピングされた IPアドレスをイントラネット IPアドレスとして使することを Citrix Gatewayに許可します

イントラネット IP DNS登録

イントラネット IPがクライアントマシンに割り当てられVIPトンネルの確後にVPNプラグインはそのクライアントマシンがドメインに参加しているかどうかをチェックしますクライアントマシンがドメインに参加しているマシンの場合VPNプラグインは DNS登録プロセスを開始しマシンのホスト名のイントラネットと割り当てられたイントラネット IPアドレスを結び付けますこの登録はトンネルの確解除前に元に戻されます

DSN登録を成功させるには次の nsapimgrノブが設定されていることを確認しますまた権限のある DNSサーバーが「セキュリティで保護されていない」DNS更新を許可するように設定されていることを確認します

bull nsapimgr-ys enable_vpn_dns_override=1このフラグは他の構成パラメータとともに NetScalerGateway VPN クライアントに送信されますこのフラグが設定されていない場合VPN クライアントが DNSWINS リクエストをインターセプトすると対応する GETDNSHTTP リクエストをトンネル経由で NetScaler Gateway 仮想サーバーに送信し解決された IP アドレスを取得しますただしrsquoenable_vpn_dnstruncate_fixrsquoフラグが設定されている場合VPNクライアントは DNSWINS要求を透過的に NetScaler Gateway仮想サーバーに転送しますこの場合DNSパケットはそのまま VPNトンネルを介して NetScaler Gateway仮想サーバーに送信されますこれはNetScaler Gatewayで構成されたネームサーバーから戻ってくる DNSレコードがきくUPD応答パケットに収まらない場合に役ちますこの場合クライアントが TCP-DNSを使するようにフォールバックするとこの TCP-DNSパケットはそのままNetScaler Gatewayサーバーに送信されるためNetScaler Gatewayサーバーは DNSサーバーに対して TCP-DNSクエリを実します

bull このフラグはNetScaler Gatewayサーバー体によって使されますこのフラグが設定されている場合NetScaler Gatewayは「DNSポート上の TCP接続」の宛先を NetScaler Gatewayで構成されたDNSサーバーへの宛先を上書きします（元の着信 TCP-DNSパケットに存在する DNSサーバー IPに送信する代わりに）UDP DNS要求の場合デフォルトでは設定された DNSサーバを DNS解決に使します

これらのノブの設定の詳細についてはhttpssupportcitrixcomarticleCTX200243を参照してください



Citrix Gateway 130


March 26 2020

設定ユーティリティを使してポリシーをバインドするレベルでアドレスプールを設定しますたとえば仮想サーバーのアドレスプールを作成する場合はそのノードでイントラネット IPアドレスを構成しますアドレスプールを設定するとポリシーが設定されているエンティティにバインドされますアドレスプールを作成しCitrixGatewayでグローバルにバインドすることもできます

ユーザーグループまたは仮想サーバーのアドレスプールを構成するには

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］を展開し次のいずれかの操作をいます

bull Citrix Gatewayユーザーの管理］を展開し［AAAユーザー］をクリックしますbull Citrix Gateway gt［ユーザー管理］の順に展開し［AAAグループ］をクリックしますbull Citrix Gatewayを展開し［仮想サーバー］をクリックします

2 詳細ウィンドウでユーザーグループまたは仮想サーバーをクリックし[開く]をクリックします3 [イントラネット IP ]タブの [IPアドレスとネットマスク]に IPアドレスとサブネットマスクをし[追加]をクリックします

4 プールに追加する IPアドレスごとにステップ 3を繰り返し[ OK]をクリックします

アドレスプールをグローバルに設定するには


2 詳細ペインの [イントラネット IP]ですべてのクライアント Citrix Gatewayセッションで使する意の静的 IPアドレスまたは IPアドレスのプールを割り当てるには[イントラネット IP]を構成します

3 [イントラネット IPのバインド]ダイアログボックスで[操作]をクリックし[挿]をクリックします4 [IPアドレス]と [ネットマスク]に IPアドレスとサブネットマスクをし[追加]をクリックします5 プールに追加する各 IPアドレスに対してステップ 3と 4を繰り返し[ OK]をクリックします



March 26 2020


Citrix Gateway 130

セッションポリシーまたはグローバル Citrix Gateway設定を使してユーザーセッション中にイントラネット IPアドレスを割り当てるかどうかを制御できますアドレスプールオプションを定義するとイントラネット IPアドレスを Citrix Gatewayに割り当てると同時に特定のユーザーグループのイントラネット IPアドレスを使できなくなります

セッションポリシーを使して次の 3つの法のいずれかを使してアドレスプールを設定できます

bull Nospillover-イントラネット IPアドレスのアドレスプールを構成するとプールから使可能な IPを持つセッションが取得されます使可能なすべてのイントラネット IPアドレスを使したユーザーの場合は[ログインの転送]ページが表されます

bull スピルオーバー-アドレスプールを構成しマップされた IPをイントラネット IPアドレスとして使する場合マップされた IPアドレスは使可能なすべてのイントラネット IPアドレスを使したユーザーに使されます

bull Offアドレスプールは設定されていません

注マッピングされた IPアドレスが設定されていない場合はSNIPが使されます

アドレスプールを設定するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [ネットワーク構成]タブで[詳細設定]をクリックします7 [イントラネット IP]の横にある [グローバル上書き]をクリックしオプションを選択します8 順 9で「SPILLOVER」を選択した場合は「Mapped IP」の横にある「グローバル上書き」をクリックしアプライアンスのホスト名を選択して「OK」をクリックし「作成」をクリックします

9 [セッションポリシーの作成]ダイアログボックスで式を作成し[作成][閉じる]の順にクリックします

転送ログインページの設定

ユーザーがイントラネット IPアドレスを使できずCitrix Gatewayとの別のセッションを確しようとすると［ログインの転送］ページが表されます［ログインの転送］ページでは既存の Citrix Gatewayセッションを新しいセッションに置き換えることができます

[ログインの転送]ページはログオフ要求が失われた場合やユーザーがクリーンログオフを実しない場合にも使できます次に例をします

bull ユーザーに静的イントラネット IPアドレスが割り当てられ既存の Citrix Gatewayセッションがありますユーザが別のデバイスから 2番のセッションを確しようとすると[Transfer Login]ページが表されユーザはセッションを新しいデバイスに転送できます


Citrix Gateway 130

bull ユーザーには 5つのイントラネット IPアドレスが割り当てられCitrix Gatewayを介して 5つのセッションが割り当てられますユーザが 6番のセッションを確しようとすると[ログインの転送（TransferLogin）]ページが表され既存のセッションを新しいセッションに置き換えることができます

注ユーザーに gt割り当てられた IPアドレスがなく[gtログインの転送]ページを使して新しい gtセッションを確できない場合ユーザーには gtエラーメッセージが表されます

[Transfer Login]ページはアドレスプールを設定しスピルオーバーを無効にした場合にだけ表されます

DNSサフィックスの設定

ユーザーが Citrix GatewayにログオンしIPアドレスが割り当てられるとユーザー名と IPアドレスの組み合わせの DNSレコードが Citrix Gatewayの DNSキャッシュに追加されますDNSレコードがキャッシュに追加されるときにユーザー名に付加するように DNSサフィックスを構成できますこれによりユーザーは DNS名で参照できるようになりIPアドレスよりも覚えやすくなりますユーザーが Citrix Gatewayからログオフするとレコードは DNSキャッシュから削除されます





VoIP電話のサポート

April 9 2020

Citrix Gatewayをスタンドアロンアプライアンスとしてインストールしユーザーが Citrix Gatewayプラグインを使して接続する場合Citrix Gatewayはボイスオーバー IP（VoIP）ソフトフォンとの双向通信をサポートします

声やビデオなどのリアルタイムアプリケーションはUser Datagram Protocol（UDPユーザデータグラムプロトコル）を介して実装されますTransmission Control Protocol（TCP）は受信確認および失われたパケットの


Citrix Gateway 130

再送信によってじる遅延のためリアルタイムトラフィックには適していませんすべてのパケットを確実に配信するよりもリアルタイムでパケットを配信することが重要ですただしTCPを介したトンネリングテクノロジーではこのようなリアルタイムパフォーマンスは満たされません

Citrix Gatewayでは次の VoIPソフトフォンがサポートされています

bull Cisco Softphonebull Avaya IPソフトフォン

IP PBXとユーザデバイスで実されているソフトフォンソフトウェアとの間でセキュアトンネリングがサポートされますVoIPトラフィックが安全なトンネルを通過できるようにするにはCitrix Gatewayプラグインとサポートされているソフトフォンのいずれかを同じユーザーデバイスにインストールする必要がありますVoIPトラフィックがセキュアトンネル経由で送信される場合次のソフトフォン機能がサポートされます

bull IPソフトフォンから発信される発信コールbull IPソフトフォンに発信される着信コールbull 双向声トラフィック

VoIPソフトフォンのサポートはイントラネット IPアドレスを使して設定されます各ユーザーのイントラネット IPアドレスを構成する必要がありますCiscoソフトフォンコミュニケーションを使している場合はイントラネット IPアドレスを設定してユーザにバインドした後追加の設定は必要ありませんイントラネット IPアドレスの構成の詳細についてはアドレスプールの設定を参照してください

分割トンネリングを有効にする場合はイントラネットアプリケーションを作成しAvaya Softphoneアプリケーションを指定しますさらに透過インターセプションを有効にする必要があります


Java Citrix Gatewayプラグインのアプリケーションアクセスの構成

March 26 2020

アクセスレベルとセキュアなネットワークでユーザがアクセスを許可するアプリケーションを設定できますユーザーが Java Citrix Gatewayプラグインを使してログオンしている場合［リモートセッション］ダイアログボックスで［アプリケーション］をクリックできます[イントラネットアプリケーション]ダイアログボックスが表されユーザーがアクセスを許可されているすべてのアプリケーションが覧表されます

ユーザーが Java Citrix Gatewayプラグインを使して接続している場合ユーザーがアプリケーションにアクセスできるようにする 2つの法のうちの 1つを構成できます

bull HOSTSファイルの変更法bull ソース IPとソースポートのメソッド


Citrix Gateway 130

HOSTSファイル変更法を使したアプリケーションへのアクセス

HOSTSファイルの変更法を使するとCitrix GatewayプラグインはHOSTSファイルで構成するアプリケーションに対応するエントリを追加しますWindowsベースのデバイスでこのファイルを変更するには管理者としてログオンしているか管理者権限を持っている必要があります管理者権限でログオンしていない場合はHOSTSファイルを動で編集し適切なエントリを追加します

注WindowsベースのコンピュータではHOSTSファイルは次のディレクトリパスにありますsystemrootsystem32driversetcMacintoshまたは LinuxコンピュータではHOSTSファイルはetchostsにあります

たとえばTelnetを使してセキュリティで保護されたネットワーク内のコンピュータに接続するとしますリモートコンピュータはセキュリティで保護されたネットワーク内およびリモートでの作業 (宅など)に使しますIPアドレスはローカルホストの IPアドレス 127001である必要がありますHOSTSファイルでIPアドレスとアプリケーション名を追加しますたとえば次のようになります

127001

HOSTSファイルを編集してユーザーデバイスに保存すると接続をテストしますコマンドプロンプトを開きTelnetを使して接続すると接続をテストできますユーザーがセキュリティで保護されたネットワーク内にないユーザーデバイスを使している場合はTelnetを起動する前に Citrix Gatewayにログオンします

セキュリティで保護されたネットワーク内のコンピュータに接続するには

1 コンピュータで使可能なソフトウェアを使して Telnetセッションを開始します

2 コマンドプロンプトから「telnetを開く」とします

リモートコンピュータのログオンプロンプトが表されます

SourceIPおよび SourcePortメソッドを使したアプリケーションへのアクセス

ユーザーがセキュリティで保護されたネットワーク内のアプリケーションにアクセスする必要がありユーザーデバイスの管理者権限がない場合は[イントラネットアプリケーション]ダイアログボックスにある送信元 IPアドレスとポート番号を使して HOSTSファイルを構成します

[イントラネットアプリケーション]ダイアログボックスを開きIPアドレスとポート番号を確認するには

1 ユーザーがプラグインを使してログオンするときに[セキュアリモートアクセス]ダイアログボックスで[アプリケーション]をクリックします

2 覧でアプリケーションをつけソース IPアドレスとソースポート番号をメモします

IPアドレスとポート番号がある場合はTelnetセッションを開始してリモートネットワーク内のコンピュータに接続します



Citrix Gateway 130


March 26 2020

Citrix Gatewayにはユーザーがログオンした後に表されるWebページであるデフォルトのホームページが含まれていますデフォルトのホームページはアクセスインタフェースと呼ばれますAccess Interfaceをホームページとして使するかWeb Interfaceをホームページまたはカスタムホームページとして構成します

アクセスインターフェイスには 3つのパネルがあります展開環境にWeb Interfaceがある場合ユーザーはアクセスインターフェイスの左パネルで Receiverにログオンできます展開環境に StoreFrontがある場合ユーザーは左側のパネルから Receiverにログオンできません

アクセスインターフェイスは内部と外部のウェブサイトへのリンクと内部ネットワークのファイル共有へのリンクを提供するために使されますアクセスインタフェースは次の法でカスタマイズできます

bull アクセスインターフェイスの変更bull アクセスインタフェースリンクの作成

ユーザーはWebサイトやファイル共有に独のリンクを追加することでアクセスインタフェースをカスタマイズすることもできますまたホームページを使して内部ネットワークからデバイスにファイルを転送することもできます

注ユーザーがログオンしアクセスインターフェイスからファイル共有を開こうとするとファイル共有は開かず「サーバーへの TCP接続に失敗しました」というエラーメッセージが表されますこの問題を解決するにはCitrix Gatewayシステムの IPアドレスから TCPポート 445および 139のファイルサーバーの IPアドレスへのトラフィックを許可するようにファイアウォールを構成します



March 26 2020

グローバル設定またはセッションポリシーとプロファイルのいずれかを使してカスタムホームページを構成し既定のホームページである Access Interfaceを置き換えることができますポリシーを設定したらポリシーをユーザーグループ仮想サーバまたはグローバルにバインドできますカスタムホームページを構成するとユーザーのログオン時にアクセスインターフェイスは表されません


Citrix Gateway 130

カスタムホームページをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブの [ホームページ]で[ホームページの表]をクリックしカスタムホームページのWebアドレスをします

4 [ OK]をクリックし[閉じる]をクリックします

セッションプロファイルでカスタムホームページを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブの [ホームページ]の横にある [グローバルに上書き]をクリックし[ホームページの表]をクリックしてホームページのWebアドレスをします




March 26 2020

Access Interfaceに依存するのではなくカスタマイズされたホームページにユーザーを誘導することもできますこれをうにはCitrix Gatewayにホームページをインストールし新しいホームページを使するようにセッションポリシーを構成します

カスタマイズされたホームページをインストールするには


2 詳細ペインの [アクセスインターフェイスのカスタマイズ]で[アクセスインターフェイスのアップロード]をクリックします


Citrix Gateway 130

3 ネットワーク上のコンピュータ上のファイルからホームページをインストールするには[ローカルファイル]で [参照]をクリックしファイルに移動して [選択]をクリックします

4 Citrix Gatewayにインストールされているホームページを使するには［リモートパス］で［参照］をクリックしファイルを選択して［選択］をクリックします

5 [アップロード]をクリックし[閉じる]をクリックします


Webリンクとファイル共有リンクの作成と適

March 26 2020

ユーザーが使できる内部リソースへのリンクのセットが表されるようにAccess Interfaceを設定できますこれらのリンクを作成するにはまずリンクをリソースとして定義する必要があります次にユーザーグループ仮想サーバーまたはグローバルにバインドしてアクセスインターフェイスでアクティブにします作成したリンクは[エンタープライズWebサイト]および [エンタープライズファイル共有]の下の [Webサイト]ウィンドウと [ファイル共有]ウィンドウに表されますユーザーが独のリンクを追加するとこれらのリンクは [個Webサイト]および [個ファイル共有]に表されます

セッションポリシーでアクセスインタフェースリンクを作成するには

1 構成ユーティリティの［構成］タブのナビゲーションペインで［Citrix Gatewayリソース］を展開し［ポータルのブックマーク］をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [名前]にブックマークの名前をします4 [表するテキスト]にリンクの説明をします説明がアクセスインターフェイスに表されます5 [ブックマーク]にWebアドレスをし[作成][閉じる]の順にクリックします

クライアントレスアクセスを有効にするとWebサイトへの要求が Citrix Gatewayを通過するようにできますたとえばGoogleにブックマークを追加したとします［ブックマークの作成］ダイアログボックスでCitrixGatewayをリバースプロキシとして使する］チェックボックスをオンにしますこのチェックボックスをオンにするとWebサイトの要求はユーザーデバイスから Citrix Gatewayに送信され次にWebサイトに送信されますこのチェックボックスをオフにすると要求はユーザーデバイスからWebサイトに送信されますこのチェックボックスはクライアントレスアクセスを有効にしている場合にのみ使できます


Citrix Gateway 130

ブックマークをグローバルにバインドするには


2 詳細ペインの [ブックマーク]でCitrix Gatewayポータルページでアクセス可能にする HTTPアプリケーションおよびWindowsファイル共有アプリケーションへのリンクを作成します

3 [VPNグローバルバインディングの設定 ]ダイアログボックスで[追加]をクリックします4 [使可能]で1つまたは複数のブックマークを選択し右印をクリックして [構成]の下のブックマークを移動し[OK]をクリックします

アクセスインターフェイスリンクをバインドするには

アクセスインタフェースリンクを次の場所にバインドできます

bull ユーザーbull グループbull 仮想サーバー

構成を保存するとユーザーは [ホーム]タブの [アクセスインターフェイス]でリンクを使できるようになりますこのタブはユーザーが正常にログオンした後に最初に表されるページですリンクはタイプに応じてWebサイトリンクまたはファイル共有リンクとしてページ上に整理されます

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいますbull Citrix Gatewayユーザーの管理］を展開し［AAAユーザー］をクリックしますbull Citrix Gatewayのユーザー管理］を展開し［AAAグループ］をクリックしますbull Citrix Gatewayを展開し［仮想サーバー］をクリックします

2 詳細ウィンドウで次のいずれかの操作をいますbull ユーザーを選択し[開く]をクリックしますbull グループを選択し[開く]をクリックしますbull 仮想サーバを選択し[開く]をクリックします

3 ダイアログボックスで[ブックマーク]タブをクリックします4 [使可能なブックマーク]で1つまたは複数のブックマークを選択し右印をクリックして [構成済みブックマーク]の下のブックマークを移動し[OK]をクリックします



March 26 2020


Citrix Gateway 130

特別なトークンusernameを使してブックマークとファイル共有URLを設定できますユーザーがログオンするとトークンは各ユーザーのログオン名に置き換えられますたとえば EmployeeServer usernameというフォルダの Jackという名前の従業員のブックマークを作成するとしますジャックがログオンするとファイル共有 URLは従業員サーバージャックにマップされますブックマークにユーザー名トークンを設定する場合は次の状況に留意してください

bull 1つの認証タイプを使している場合はトークンusernameがユーザー名に置き換えられますbull 2要素認証を使している場合usernameトークンの代わりにプライマリ認証タイプのユーザー名が使されます

bull クライアント証明書認証を使している場合はクライアント証明書認証プロファイルのユーザー名フィールドを使してusernameトークンの置き換えがわれます



March 26 2020

トラフィックポリシーではユーザ接続に対して次の設定を構成できます

bull 信頼できないネットワークからアクセスされる機密アプリケーションのタイムアウトを短くするbull 部のアプリケーションで TCPを使するようにネットワークトラフィックを切り替える[TCP]を選択した場合は特定のアプリケーションに対してシングルサインオンを有効または無効にする必要があります

bull Citrix Gatewayプラグインのトラフィックに他の HTTP機能を使する状況を特定しますbull ファイルタイプの関連付けで使されるファイル拡張を定義します



April 9 2020

トラフィックポリシーを設定するにはプロファイルを作成し次のパラメータを設定します

bull プロトコル (HTTPまたは TCP)bull アプリケーションのタイムアウトbull Webアプリケーションへのシングルサインオンbull フォームのシングルサインオン


Citrix Gateway 130

bull ファイルタイプの関連付けbull リピータプラグインbull Kerberos制約付き委任 (KCD)アカウント

トラフィックポリシーを作成したらポリシーを仮想サーバユーザグループまたはグローバルにバインドできます

たとえばWebアプリケーション PeopleSoft事管理が内部ネットワークのサーバーにインストールされているとしますこのアプリケーションのトラフィックポリシーを作成して宛先 IPアドレスと宛先ポートを定義しユーザーがアプリケーションにログオンしたままにできる時間（15分など）を設定できます

アプリケーションへの HTTP圧縮などの他の機能を設定する場合はトラフィックポリシーを使して設定を構成できますポリシーを作成するときはアクションの HTTPパラメータを使します式でアプリケーションを実しているサーバーの宛先アドレスを作成します

トラフィックポリシーを設定するには



3 [トラフィックポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします

4 [プロファイルの要求]の横にある [新規]をクリックします


6 [プロトコル]で[HTTP]または [TCP]を選択します

注プロトコルとして [TCP]を選択した場合シングルサインオンは構成できず[プロファイル]ダイアログボックスで設定が無効になります

7 [AppTimeout (分)]に分数をしますこの設定によりユーザーがWebアプリケーションにログオンしたままにできる時間が制限されます

8 Webアプリケーションへのシングルサインオンを有効にするには「シングルサインオン」で「ON」を選択します

注フォームベースのシングルサインオンを使する場合はトラフィックプロファイル内で設定を構成できます詳しくは「フォームベースのシングルサインオンの設定」を参照してください

9 ファイルタイプの関連付けを指定するには「ファイルタイプの関連付け」で「ON」を選択します

10 リピータプラグインを使してネットワークトラフィックを最適化するには[ブランチリピータ]で [ON]を選択し[作成]をクリックして [閉じる]をクリックします


Citrix Gateway 130

11 アプライアンスで KCDを構成する場合は[KCDアカウント]でアカウントを選択します

アプライアンスでの KCDの設定の詳細については「NetScalerアプライアンスでの Kerberos制約付き委任の構成」を参照してください

12 [Create Traffic Policy]ダイアログボックスで式を作成または追加し[Create]をクリックし[Close]をクリックします



April 9 2020

フォームベースのシングルサインオンによりユーザーはネットワーク内のすべての保護されたアプリケーションに度ログオンできますCitrix Gatewayでフォームベースのシングルサインオンを構成するとユーザーはパスワードを再しなくてもHTMLフォームベースのログオンを必要とするWebアプリケーションにアクセスできますシングルサインオンを使しない場合ユーザーは各アプリケーションにアクセスするために個別にログオンする必要があります

フォームのシングルサインオンプロファイルを作成したらフォームシングルサインオンプロファイルを含むトラフィックプロファイルとポリシーを作成します詳しくは「トラフィックポリシーの作成」を参照してください

フォームベースのシングルサインオンを構成するには


2 詳細ウィンドウで[フォーム SSOプロファイル]タブをクリックし[追加]をクリックします


4 [アクション URL]に完成したフォームの送信先の URLをします

注 URLはルート相対 URLです

5 [ユーザー名フィールド]にユーザー名フィールドの属性の名前をします

6「パスワードフィールド」にパスワードフィールドの属性の名前をします

7 [SSO成功規則]でポリシーによって呼び出されたときにこのプロファイルが実するアクションを記述する式を作成しますこのフィールドの下にある [接頭辞][追加]および [演算]ボタンを使して式を作成することもできます

このルールはシングルサインオンが成功したかどうかをチェックします


Citrix Gateway 130

8 [名前値のペア]にユーザー名フィールドの値をし続けてアンパサンド (amp)パスワードフィールドの値をします

値の名前はアンパサンド (amp)で区切りますたとえば名前 1 =値 1名前 2 =値 2です

9 [レスポンスサイズ]にレスポンスサイズ全体を許可するバイト数をしますフォームを抽出するために解析する応答のバイト数をします

10「抽出」で名前と値のペアが静的か動的かを選択します既定の設定は [動的]です

11 [送信法]でログオン資格情報をログオンサーバーに送信するためにシングルサインオンフォームで使する HTTP法を選択しますデフォルトは Getです



SAMLシングルサインオンの設定

March 26 2020

シングルサインオン (SSO)の SAML 11または SAML 20プロファイルを作成できますユーザーはシングルサインオンの SAMLプロトコルをサポートするWebアプリケーションに接続できますCitrix GatewayはSAMLWebアプリケーションのアイデンティティプロバイダー（IdP）シングルサインオンをサポートしています

SAMLシングルサインオンを構成するには


2 詳細ペインで[SAML SSOプロファイル]タブをクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にプロファイルの名前をします5「署名証明書名」にX509証明書の名前をします6 [ACS URL]にIDプロバイダーまたはサービスプロバイダーのアサーションコンシューマサービスをしますアサーションコンシューマーサービス URL（ACS URL）はユーザに SSO機能を提供します

7 [リレー状態規則]で[保存されたポリシー式]と [頻繁に使する式]からポリシーの式を作成します「演算」(Operator)リストからを選択し式の評価法を定義します式をテストするには[評価]をクリックします

8 [パスワードの送信]で [ON]または [OFF]を選択します9 [発者名]にSAMLアプリケーションの IDをします



Citrix Gateway 130



March 26 2020

トラフィックポリシーは仮想サーバーグループユーザーおよび Citrix Gateway Globalにバインドできます設定ユーティリティを使してトラフィックポリシーをバインドできます

設定ユーティリティを使してトラフィックポリシーをグローバルにバインドするには


2 詳細ペインでポリシーを選択し[操作]で [グローバルバインド]をクリックします3 [トラフィックポリシーのバインドバインド解除]ダイアログボックスの [詳細]で[ポリシーの挿]をクリックします




March 26 2020

どちらの構成ユーティリティーを使してCitrix Gatewayからトラフィックポリシーを削除できます設定ユーティリティを使してトラフィックポリシーを削除しポリシーをユーザグループまたは仮想サーバレベルにバインドする場合はまずポリシーをバインド解除する必要がありますその後ポリシーを削除できます

設定ユーティリティを使してトラフィックポリシーをバインド解除するには

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいますbull Citrix Gatewayを展開し［仮想サーバー］をクリックしますbull Citrix Gateway gt［ユーザー管理］の順に展開し［AAAグループ］をクリックしますbull Citrix Gateway gt［ユーザー管理］の順に展開し［AAAユーザー］をクリックします

2 詳細ウィンドウで仮想サーバーグループまたはユーザーを選択し[開く]をクリックします


Citrix Gateway 130

3 Citrix Gateway仮想サーバーの構成］［AAAグループの構成］または［AAAユーザーの構成］ダイアログボックスで［ポリシー］タブをクリックします

4 [トラフィック]をクリックしポリシーを選択して [ポリシーのバインド解除]をクリックします5 [OK]をクリックし[閉じる]をクリックします

トラフィックポリシーがバインド解除されたらポリシーを削除できます

設定ユーティリティを使してトラフィックポリシーを削除するには


2 詳細ペインの [ポリシー]タブでトラフィックポリシーを選択し[削除]をクリックします



March 26 2020

セッションポリシーはユーザーグループ仮想サーバーおよびグローバルに適される式と設定の集合です

セッションポリシーを使してユーザー接続の設定を構成しますWindowsの Citrix GatewayプラグインやMacの Citrix Gatewayプラグインなどユーザーがログオンするソフトウェアの設定を定義できますまたユーザーが Citrix Workspaceアプリまたは Secure Hubを使してログオンするように設定することもできますセッションポリシーはユーザーが認証された後に評価され適されます

セッションポリシーは次の規則に従って適されます

bull セッションポリシーは常に設定のグローバル設定を上書きしますbull セッションポリシーを使して設定されていない属性またはパラメータは仮想サーバに対して確されたポリシーに設定されます

bull セッションポリシーまたは仮想サーバによって設定されないその他のアトリビュートはグローバル構成によって設定されます

重要次の順はセッションポリシーの作成に関する般的なガイドラインですクライアントレスアクセスや公開アプリケーションへのアクセスなどさまざまな設定のセッションポリシーを設定するための具体的な順があります順には特定の設定を構成するための指が含まれている場合がありますただしその設定はセッションプロファイルとポリシーに含まれる多くの設定の 1つになることがありますこの順ではセッションプロファイル内に設定を作成しそのプロファイルをセッションポリシーに適するように指されます新しいセッションポリシーを作成しなくてもプロファイルおよびポリシー内の設定を変更できますさらにグローバルレベルですべての設定を作成しグローバル設定を上書きするセッションポリシーを


Citrix Gateway 130

作成することもできます

ネットワークに Citrix Endpoint Managementまたは StoreFrontを展開する場合はクイック構成ウィザードを使してセッションポリシーとプロファイルを構成することをお勧めしますウィザードを実するときに配置の設定を定義します次に必要な認証セッションおよびクライアントレスアクセスポリシーが作成されます



2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 セッションプロファイルの設定を完了し[Create]をクリックします7 [セッションプロファイルの作成]ダイアログボックスでポリシーの式を追加し[作成][閉じる]の順にクリックします注意式で「True value」を選択するとポリシーがバインドされているレベルに常に適されます



April 9 2020

セッションプロファイルにはユーザー接続の設定が含まれます

セッションプロファイルはユーザーデバイスがポリシー式の条件を満たす場合にユーザーセッションに適されるアクションを指定しますプロファイルはセッションポリシーで使されます設定ユーティリティーを使してセッションポリシーとは別にセッションプロファイルを作成しそのプロファイルを複数のポリシーに使できますポリシーで使できるプロファイルは 1つだけです

セッションプロファイルでのユーザ接続のネットワーク設定の構成

セッションプロファイルの [ネットワーク構成]タブを使してユーザー接続の次のネットワーク設定を構成できます

bull DNSサーバー


Citrix Gateway 130

bull WINSサーバの IPアドレスbull イントラネット IPアドレスとして使できるマップされた IPアドレスbull アドレスプールのスピルオーバー設定 (イントラネット IPアドレス)bull イントラネット IP DNSサフィックスbull HTTPポートbull 強制タイムアウト設定

セッションプロファイルでの接続設定の構成

セッションプロファイルの [クライアントエクスペリエンス]タブを使して次の接続設定を構成できます

bull アクセスインターフェイスまたはカスタマイズされたホームページbull Webベースの電メールのWebアドレス (Outlook Web Accessなど)bull プラグインの種類（Windowsの場合は Citrix GatewayプラグインMac OS Xの場合は Citrix GatewayプラグインJavaの場合は Citrix Gatewayプラグイン）

bull 分割トンネリングbull セッションおよびアイドルタイムアウトの設定bull クライアントレスアクセスbull クライアントレスアクセス URLエンコーディングbull プラグインの種類 (WindowsMacまたは Java)bull Webアプリケーションへのシングルサインオンbull 認証のクレデンシャルインデックスbull Windowsでのシングルサインオンbull クライアントのクリーンアップ動作bull ログオンスクリプトbull クライアントのデバッグ設定bull 分割 DNSbull プライベートネットワーク IPアドレスおよびローカル LANアクセスへのアクセスbull クライアントの選択bull プロキシ設定

ユーザー接続の設定の詳細についてはCitrix Gatewayプラグインの接続を構成するを参照してください

セッションプロファイルでのセキュリティ設定の構成

セッションプロファイルの [セキュリティ]タブを使して次のセキュリティ設定を構成できます

bull デフォルトの承認アクション（許可または拒否）bull iOSデバイスからの接続の Secure Browsebull 隔離グループbull 承認グループ


Citrix Gateway 130

Citrix Gatewayでの認証の構成の詳細については「認可の設定」を参照してください

セッションプロファイルでの Citrix Virtual Apps and Desktops設定の構成

セッションプロファイルの［公開アプリケーション］タブを使してCitrix Virtual Apps and Desktopsを実しているサーバーへの接続について次の設定を構成できます

bull ICAプロキシCitrix Workspaceアプリを使したクライアント接続ですbull Web Interfaceのアドレスbull Web Interfaceポータルモードbull サーバーファームドメインへのシングルサインオンbull Citrix Workspaceアプリのホームページbull アカウントサービスアドレス

サーバーファーム内の公開アプリケーションに接続するための設定を構成する法についてはWeb Interfaceを使した公開アプリケーションおよび Virtual Desktopsへのアクセスの提供を参照してください

セッションプロファイルはセッションポリシーとは独して作成できますポリシーを作成するときにポリシーにアタッチするプロファイルを選択できます

構成ユーティリティを使してセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 プロファイルの設定を構成し[作成][閉じる]の順にクリックします

プロファイルを作成したらそれをセッションポリシーに含めることができます

構成ユーティリティを使してセッションポリシーにプロファイルを追加するには

1 構成ユーティリティのナビゲーションペインで[Access Gateway] gt [ポリシー]を展開し[セッション]をクリックします

2 [ポリシー]タブで次のいずれかの操作をいますbull [Add]をクリックして新しいセッションポリシーを作成しますbull ポリシーを選択し[Open]をクリックします

3「要求プロファイル」でリストからプロファイルを選択します4 セッションポリシーの構成を完了し次のいずれかの操作をいます

a) [Create]をクリックし[Close]をクリックしてポリシーを作成しますb) [OK]をクリックし[閉じる]をクリックしてポリシーを変更します



Citrix Gateway 130


March 26 2020

セッションポリシーを作成したらユーザーグループ仮想サーバーまたはグローバルにバインドしますセッションポリシーは次の順序で階層として適されます

bull ユーザーbull グループbull 仮想サーバーbull グローバル

構成ユーティリティを使してセッションポリシーをバインドするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで [Citrix Gateway]を展開し次のいずれかの操作をいます

a) [仮想サーバー]をクリックしますb) [ユーザ管理]を展開し[AAAグループ]をクリックしますc) [ユーザ管理]を展開し[AAAユーザ]をクリックします

2 順 1で選択した内容に応じて次のいずれかのダイアログボックスの [Policies]タブをクリックしますbull Citrix Gateway仮想サーバーの作成bull AAAグループの設定bull AAAユーザの設定

3 セッションポリシーを追加するには[セッション]をクリックします4 [ポリシーの挿]をクリックしセッションポリシーを選択して [OK]をクリックします


StoreFrontの Citrix Gatewayセッションポリシーの構成

April 9 2020

この記事ではCitrix WorkspaceアプリまたはWebブラウザを使しているユーザーに対してStoreFrontを使した Citrix Gatewayドメインのみの認証を構成する法について説明します

最要件

bull Citrix StoreFront 2xまたは 30


Citrix Gateway 130

bull Citrix ADC 105以降

bull Windows 4x向け Citrix Workspaceアプリ

bull Mac 118向け Citrix Workspaceアプリ

bull Webブラウザー（Web向け Citrix Workspaceアプリ）

bull「CTX108876-Citrix ADCアプライアンスで LDAP認証を構成する法」で説明されているようにCitrixADCアプライアンス上で構成された認証

bull StoreFront サーバーと Citrix Gateway に構成された SSL 証明書次のトピックの詳細についてはStoreFrontのドキュメントを参照してください

- StoreFront 26のインストールとセットアップ

ndash Windows 2012 Server証明書

ndash SSLバインドをサイトに追加するには

ndash Citrix ADCアプライアンス 105の証明書のインストールと管理

StoreFrontでの Citrix Gatewayの構成

Webブラウザベースのアクセスのセッションポリシーを作成する

1 セッションポリシーを作成するには［Citrix Gateway］gt［ポリシー］gt［セッション］の順に選択します


3［名前］フィールドにセッションポリシーの名前をしますたとえばWeb_ブラウザ _ポリシーなどです




bull クライアントレスアクセスOnに設定

bull Webアプリケーションへのシングルサインオンチェックボックスをオンにします

bull プラグインの種類 WindowsMAC OS Xに設定

7 [セキュリティ]タブで[既定の承認操作]を有効にし[許可]に設定します


Citrix Gateway 130



bull Web InterfaceアドレスStoreFrontサーバーの FQDNの後にWebストアへのパスが続きます

bull シングルサインオンドメイン -ドメインの NetBIOS名



1 REQHTTPHEADER User-Agent NOTCONTAINS CitrixReceiver


1 HTTPREQHEADER(rdquoUser-Agentrdquo)CONTAINS(rdquoCitrixReceiverrdquo)NOT

このポリシーはCitrix ADCがWebブラウザベースの接続と Citrix Workspaceアプリベースの接続を区別するために必要ですこのポリシーはWebブラウザベースの接続に適されます

WindowsまたはMacの Citrix Workspaceアプリおよび Citrix Gateway上のモバイルデバイスのセッションポリシーを作成する

1 Citrix Gateway gt［ポリシー］gt［セッション］に移動します


3［名前］フィールドにセッションポリシーの名前をしますたとえばReceiver_Policy




bull ホームページ「なし」に設定

bull 分割トンネル OFFに設定

bull クライアントレスアクセス[オン]に設定

bull Webアプリケーションへのシングルサインオンチェックボックスを選択します

bull プラグインの種類 Javaに設定


Citrix Gateway 130

7 [セキュリティ]タブで[既定の承認操作]を [許可]に設定します



bull Web Interfaceアドレス StoreFrontサーバーの FQDNに続いてストアへのパス

bull シングルサインオンドメインドメインの NetBIOS名

bull アカウントサービス所在地アカウントサービスの所在地をします最後のバックスラッシュは重要です



1 REQHTTPHEADER User-Agent CONTAINS CitrixReceiver


1 HTTPREQHEADER(rdquoUser-Agentrdquo)CONTAINS(rdquoCitrixReceiverrdquo)

このポリシーはCitrix ADCがWebブラウザベースの接続と Citrix Workspaceアプリベースの接続を区別するために必要ですこのポリシーはCitrix Workspaceアプリベースの接続に適されます

Citrix ADCアプライアンスで認証を構成する

Citrix ADCアプライアンスでの LDAP認証の構成についてはLDAP認証の構成を参照してください

Citrix Gateway仮想サーバーを作成しセッションポリシーをバインドする

1［Citrix Gateway］gt［仮想サーバー］に移動し［追加］をクリックして新しい仮想サーバーを追加します

2 仮想サーバーが作成されたら会社の要件に基づいて特定のセッションポリシーを仮想サーバーにバインドします

StoreFrontの認証を構成する

1 StoreFront上の Citrix Gatewayからのパススルー認証を有効にします詳しくは「認証サービスの構成」を参照してください

StoreFrontは認証コールバックサービスの Citrix Gateway仮想サーバーのバインドされた証明書（ルート証明書または中間証明書）の発元を信頼する必要があります


Citrix Gateway 130

2 Citrix Gatewayを StoreFrontに追加します詳しくは「Citrix Gateway接続の追加」を参照してください

ゲートウェイ URLはユーザがWebブラウザのアドレスバーにする内容と正確に致する必要があります

3 StoreFrontストアでリモートアクセスを有効にします詳しくは「Citrix Gatewayを介したストアへのリモートアクセスの管理」を参照してください


エンタープライズブックマークの度なポリシーサポート

March 26 2020

エンタープライズブックマーク (VPN URL)を度なポリシーとして設定できるようになりました

VPN URLを度なポリシーとして設定する

VPN URLを度なポリシーとして設定するには次のタスクを実する必要があります

bull VPN URLアクションを作成する

bull VPN URLポリシーの作成）

bull ポリシーをバインドポイントにバインドする







Citrix Gateway 130





VPN URLアクションに対する以下の操作がサポートされています

bull add


bull set

1 set vpn urlAction ltnamegt [-vServerName ltstringgt] [-clientlessAccess ( ON | OFF )] [-comment ltstringgt] [-iconURL ltURLgt] [-ssotype ltssotypegt] [-applicationtype ltapplicationtypegt][-samlSSOProfile ltstringgt]

bull unset

1 unset vpn urlAction ltnamegt [-vServerName] [-clientlessAccess] [-comment] [-iconURL] [-ssotype] [-applicationtype] [-samlSSOProfile]

bull show

1 show vpn urlAction [ltnamegt]

bull remove


Citrix Gateway 130

1 remove vpn urlAction ltnamegt

bull rename

1 rename vpn urlAction ltnamegt ltnewNamegt

Following operations for VPN URL policy are supported

bull add

1 add vpn urlPolicy ltnamegt -rule ltexpressiongt -action ltstringgt [-comment ltstringgt] [-logAction ltstringgt]

bull set

1 set vpn urlPolicy ltnamegt [-rule ltexpressiongt] [-action ltstringgt][-comment ltstringgt] [-logAction ltstringgt]

bull unset

1 unset vpn urlPolicy ltnamegt [-comment] [-logAction]

bull show

1 show vpn urlPolicy [ltnamegt]

bull remove

1 remove vpn urlPolicy ltnamegt

bull rename

1 rename vpn urlpolicy ltnamegt ltnewNamegt

bull stat

1 stat vpn urlpolicy [ltnamegt] [-detail] [-fullValues] [-ntimes ltpositive_integergt] [-logFile ltinput_filenamegt] [-clearstats (basic | full )]

bull bind


Citrix Gateway 130

1 bind vpn vserver ltvserver namegt -policy ltstringgt -priority ltpositive_integergt [-gotoPriorityExpression ltexpressiongt]

2 bind vpn global -policyName ltstringgt -priority ltpositive_integergt[-gotoPriorityExpression ltexpressiongt]

3 bind aaa user ltuserNamegt -policy ltstringgt [-priority ltpositive_integergt] [-type lttypegt] [-gotoPriorityExpression ltexpressiongt]

4 bind aaa group ltgroupNamegt -policy ltstringgt [-priority ltpositive_integergt] [-type lttypegt] [-gotoPriorityExpression ltexpressiongt]

bull unbind

1 unbind vpn vserver ltnamegt -policy ltstringgt2 unbind vpn global -policyName ltstringgt3 unbind aaa user ltnamegt -policy ltstringgt4 unbind aaa group ltnamegt -policy ltstringgt

Note Bind Points are aaauser aaagroup vpnvserver and vpnglobal



March 26 2020

エンドポイント分析はユーザーデバイスをスキャンしオペレーティングシステムの存在やバージョンレベルウイルス対策ソフトウェアファイアウォールソフトウェアまたはWebブラウザソフトウェアなどの情報を検出するプロセスですエンドポイント分析を使してネットワークへの接続を許可するかユーザーがログオンした後も接続したままにする前にユーザーデバイスが要件を満たしていることを確認できますユーザーセッション中にユーザーデバイス上のファイルプロセスおよびレジストリエントリを監視してデバイスが引き続き要件を満たしていることを確認できます



March 26 2020


Citrix Gateway 130

ユーザーがログオンする前にユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認するように Citrix Gatewayを構成できますこれを事前認証ポリシーと呼びますポリシー内で指定したウイルス対策ファイアウォールスパム対策プロセスファイルレジストリエントリインターネットセキュリティまたはオペレーティングシステムについてユーザーデバイスをチェックするように Citrix Gatewayを構成できますユーザーデバイスが事前認証スキャンに失敗した場合ユーザーはログオンできません

事前認証ポリシーで使されない追加のセキュリティ要件を構成する必要がある場合はセッションポリシーを構成しユーザーまたはグループにバインドしますこのタイプのポリシーは認証後ポリシーと呼ばれウイルス対策ソフトウェアやプロセスなどの必要な項が確実に当てはまるようにユーザーセッション中に実されます

事前認証または認証後のポリシーを構成するとCitrix Gatewayはエンドポイント分析プラグインをダウンロードしスキャンを実しますユーザーがログオンするたびにエンドポイント分析プラグインが動的に実されます

エンドポイントポリシーを設定するには次の 3種類のポリシーを使します

bull yesまたは noパラメータを使する事前認証ポリシースキャンによってユーザーデバイスが指定した要件を満たしているかどうかが判断されますスキャンが失敗した場合ユーザーはログオンページで資格情報をできません

bull 条件付きでSmartAccessで使できるセッションポリシーbull セッションポリシー内のクライアントセキュリティ式ユーザーデバイスがクライアントセキュリティ式の要件を満たさない場合はユーザーを検疫グループに配置するように設定できますユーザーデバイスがスキャンにパスした場合ユーザーは別のグループに所属し追加のチェックが必要になる場合があります

検出された情報をポリシーに組み込んでユーザーデバイスに基づいて異なるレベルのアクセスを許可できますたとえば最新のウイルス対策ソフトウェアおよびファイアウォールソフトウェア要件を持つユーザーデバイスからリモートで接続するユーザーにダウンロード権限を持つフルアクセスを提供できます信頼されていないコンピュータから接続しているユーザーにはより制限されたレベルのアクセスを提供してユーザーがリモートサーバー上のドキュメントをダウンロードせずに編集することができます

エンドポイント分析では次の基本的な順が実されます

bull ユーザーデバイスに関する情報の初期セットを調べ適するスキャンを決定します

bull 適可能なすべてのスキャンを実しますユーザーが接続を試みるとEndpoint Analysisプラグインは事前認証またはセッションポリシーで指定された要件をユーザーデバイス上でチェックしますユーザーデバイスがスキャンにパスするとユーザーはログオンできますユーザーデバイスがスキャンに失敗した場合ユーザーはログオンできません注エンドポイント分析のスキャンはユーザーセッションがライセンスを使する前に完了します

bull ユーザーデバイス上で検出されたプロパティ値と設定したスキャンでリストされた必要なプロパティ値を較します

bull 必要なプロパティ値がつかったかどうかを検証する出を成します


Citrix Gateway 130

注意エンドポイント分析ポリシーの作成順は般的なガイドラインです1つのセッションポリシー内に多数の設定を使できますセッションポリシーを構成する具体的な順には特定の設定を構成するための指が含まれている場合がありますただしその設定はセッションプロファイルとポリシーに含まれる多くの設定の 1つになる場合があります



March 26 2020

ユーザーがログオンするときにエンドポイント分析スキャンをスキップすることを選択できますユーザーがスキャンをスキップするとCitrix Gatewayはこのアクションを失敗したエンドポイント分析として処理しますユーザーがスキャンに失敗した場合Web Interfaceまたはクライアントレスアクセスでのみアクセスできます

たとえばCitrix Gatewayプラグインを使してユーザーにアクセスを許可する場合などですプラグインを使して Citrix Gatewayにログオンするにはユーザーがノートンアンチウイルスなどのウイルス対策アプリケーションを実している必要がありますユーザーデバイスでアプリケーションが実されていない場合ユーザーはReceiverでのみログオンし公開アプリケーションを使できますクライアントレスアクセスを構成することもできますこれによりOutlook Web Accessなどの特定のアプリケーションへのアクセスが制限されます

このログオンシナリオを実現するように Citrix Gatewayを構成するにはデフォルトのポリシーとして制限セッションポリシーを割り当てます次にユーザーデバイスがエンドポイント分析スキャンに合格したときに特権セッションポリシーにユーザーをアップグレードする設定を構成しますこの時点でユーザーはネットワークレイヤーにアクセスできCitrix Gatewayプラグインを使してログオンできます

最初に制限セッションポリシーを適するように Citrix Gatewayを構成するには次の順に従います

bull 指定したアプリケーションがユーザーデバイスで実されていない場合はICAプロキシを有効にしてグローバル設定をいその他の必要な設定をいます

bull Citrix Gatewayプラグインを有効にするセッションポリシーとプロファイルを作成します

bull セッションポリシーの規則部分内に次のような式を作成してアプリケーションを指定します

（クライアントアプリケーションプロセス（symantecexe）が存在する）

ユーザーがログオンすると最初にセッションポリシーが適されますエンドポイントの分析が失敗した場合またはユーザーがスキャンをスキップした場合Citrix Gatewayはセッションポリシーの設定を無視します（セッションポリシーの式は falseとみなされます）その結果ユーザはWeb Interfaceまたはクライアントレスアクセスを使したアクセスが制限されますエンドポイントの分析に成功するとCitrix Gatewayはセッションポリシーを適しユーザーは Citrix Gatewayプラグインを使してフルにアクセスできます


Citrix Gateway 130



March 26 2020

異なるレベルにバインドされた複数の事前認証ポリシーを持つことができますたとえばAAA Globalにバインドされた特定のアンチウイルスアプリケーションをチェックするポリシーと仮想サーバにバインドされたファイアウォールポリシーがあるとしますユーザーがログオンすると仮想サーバーにバインドされているポリシーが最初に適されますAAA Globalでバインドされたポリシーが 2番に適されます

事前認証スキャンの順序を変更できますCitrix Gatewayでグローバルポリシーを適するには仮想サーバーにバインドされているポリシーの優先度番号を変更しグローバルにバインドされているポリシーよりもい優先度番号を設定しますたとえばグローバルポリシーのプライオリティ番号を 1に設定し仮想サーバポリシーを 2に設定しますユーザーがログオンするとCitrix Gatewayが最初にグローバルポリシースキャンを実し次に仮想サーバーポリシースキャンを実します

事前認証ポリシーの優先順位を変更するには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [ポリシー]タブで[事前認証]をクリックします4 [優先度]でポリシーの優先度番号をし[OK]をクリックします



March 26 2020

警告

AAA事前認証ポリシーはNetScaler 120ビルド 5620以降では推奨です代わりにNfacCitrix認証を使することをお勧めします詳細については「多要素 (nFactor)認証」を参照してください


Citrix Gateway 130

ユーザーが認証される前にクライアント側のセキュリティをチェックするように Citrix Gatewayを構成できますこの法ではCitrix Gatewayとのセッションを確するユーザーデバイスがセキュリティ要件に準拠していることを保証しますクライアント側のセキュリティチェックは次の 2つの順で説明するように仮想サーバまたはグローバルに固有の事前認証ポリシーを使して設定します

事前認証ポリシーはプロファイルと式で構成されますユーザーデバイスでのプロセスの実を許可または拒否するアクションを使するようにプロファイルを構成しますたとえばテキストファイル clienttexttxtがユーザーデバイスで実されているとしますユーザーが Citrix Gatewayにログオンするときにテキストファイルが実されている場合はアクセスを許可または拒否できますプロセスの実中にユーザーにログオンを許可しない場合はユーザーがログオンする前にプロセスが停するようにプロファイルを構成します

事前認証ポリシーには次の設定を構成できます

bull Expression エクスプレッションの作成に役つ次の設定が含まれていますndash Expression 作成されたエクスプレッションをすべて表しますndash Match Any Expression 選択した式のリストにある式のいずれかに致するようにポリシーを設定します

ndash Match All Expressions 選択した式のリストに存在するすべての式に致するようにポリシーを設定します

ndash Tabular Expressions OR (||)または AND (ampamp)演算を使して既存の式を使して複合式を作成します

ndash Advanced Free-Form 式名とOR (||)および AND (ampamp)演算を使してカスタムの複合式を作成します必要なエクスプレッションのみを選択し選択したエクスプレッションのリストから他のエクスプレッションを省略します

ndash Add新しい式を作成しますndash Modify 既存の式を修正しますndash Remove-選択したエクスプレッションを複合エクスプレッションリストから削除しますndash Named Expressions 構成済みの名前付き式を選択しますCitrix Gatewayにすでに存在する式のドロップダウンリストから名前付き式を選択できます

ndash Add Expression 選択した名前付き式をポリシーに追加しますndash Replace Expression 選択した名前付き式をポリシーに置き換えますndash Preview Expression 名前付き式を選択したときに Citrix Gatewayで構成される詳細なクライアントセキュリティ字列が表されます

構成ユーティリティを使して事前認証プロファイルをグローバルに設定するには


2 詳細ウィンドウで[設定]の [事前認証設定の変更]をクリックします3 [グローバル事前認証設定]ダイアログボックスで次の設定を構成します

a)「アクション」で「許可」または「拒否」を選択します


Citrix Gateway 130

エンドポイントの分析後にユーザーがログオンすることを拒否または許可しますb)「取消するプロセス」にプロセスをしますエンドポイント分析プラグインで停するプロセスを指定します

c)「削除するファイル」にファイル名をしますエンドポイント分析プラグインによって削除するファイルを指定します

4 Expressionでは式を ns_trueのままにしておくかウイルス対策ソフトウェアやセキュリティソフトウェアなどの特定のアプリケーションの式を作成し[OK]をクリックします

構成ユーティリティを使して事前認証プロファイルを構成するには



3 [名前]に確認するアプリケーションの名前をします

4「アクション」で「使する」または「拒否」を選択します

5 [キャンセルするプロセス]に停するプロセスの名前をします

6 [削除するファイル]ボックスに削除するファイルの名前をします (cclientexttxtなど)[作成]をクリックし[閉じる]をクリックします

注記ファイルを削除したりプロセスを停したりすると確認を求めるメッセージが表されますステップ 5と 6はオプションのパラメータです

構成ユーティリティを使して事前認証プロファイルを構成する場合は[ポリシー]タブの [追加]をクリックして事前認証ポリシーを作成します[事前認証ポリシーの作成]ダイアログボックスで[要求プロファイル]ドロップダウンリストからプロファイルを選択します



March 26 2020

事前認証およびクライアントセキュリティセッションポリシーにはプロファイルと式が含まれますポリシーには1つのプロファイルと複数の式を含めることができますユーザーデバイスをスキャンしてアプリケーションファイルプロセスまたはレジストリエントリを検索するにはポリシー内に式または複合式を作成します


Citrix Gateway 130

式のタイプ

式は式タイプと式のパラメータで構成されます式には次のタイプがあります

bull 般bull クライアントのセキュリティbull ネットワークベース

事前認証ポリシーへの事前設定式の追加

Citrix Gatewayには名前付き式と呼ばれる構成済みの式が付属していますポリシーを設定する場合ポリシーに名前付き式を使できますたとえば事前認証ポリシーでウイルス定義が更新された Symantec AntiVirus10の有無を確認するとします事前認証ポリシーを作成し次の順に従って式を追加します

事前認証またはセッションポリシーを作成するときにポリシーを作成するときに式を作成できますその後式を使してポリシーを仮想サーバに適するかグローバルに適できます

次の順では構成ユーティリティを使して構成済みのウイルス対策式をポリシーに追加する法について説明します

事前認証ポリシーに名前付き式を追加するには


2 詳細ペインでポリシーを選択し[開く]をクリックします3 [名前付き式]の横にある [アンチウイルス]を選択し覧からウイルス対策製品を選択し[式の追加][作成][閉じる]の順にクリックします



March 26 2020

カスタム式はポリシー内に作成する式です式を作成するときは式のパラメータを設定します

カスタムクライアントセキュリティ式を作成してよく使されるクライアントセキュリティ字列を参照することもできますこれにより事前認証ポリシーの設定プロセスや設定済みの式のメンテナンスが容易になります

たとえばSymantec AntiVirus 10のカスタムのクライアントセキュリティ式を作成しウイルス定義が 3以内であることを確認します新しいポリシーを作成しウイルス定義を指定する式を構成します


Citrix Gateway 130

次の順は事前認証ポリシーでクライアントセキュリティポリシーを作成する法をしていますセッションポリシーで同じ順を使できます

事前認証ポリシーとカスタムクライアントセキュリティ式を作成するには


2 詳細ウィンドウで[追加]をクリックします[事前認証ポリシーの作成]ダイアログボックスが表されます3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [認証プロファイルの作成]ダイアログボックスの [名前]にプロファイルの名前をし[操作]で [許可]を選択し[作成]をクリックします

6 [事前認証ポリシーの作成]ダイアログボックスで[任意の式に致]の横にある [追加]をクリックします7「式の種類」で「クライアントセキュリティ」を選択します8 次のオプションを構成します

a) [コンポーネント]で[アンチウイルス]を選択しますb) [名前]にアプリケーションの名前をしますc)「修飾」で「バージョン」を選択しますd)「演算」で「= =」を選択しますe) [値]に値をしますf) [鮮度]に 3とし[OK]をクリックします

9 [事前認証ポリシーの作成]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします

カスタム式を構成するとポリシーダイアログボックスの [式]ボックスにカスタム式が追加されます



April 9 2020

事前認証ポリシーには1つのプロファイルと複数の式を含めることができます複合式を設定する場合は演算を使して式の条件を指定しますたとえば複合式を構成してユーザーデバイスで次のいずれかのウイルス対策アプリケーションの実を要求できます

bull Symantec Antivirus 10bull McAfee Antivirus 11bull Sophos Antivirus 4


Citrix Gateway 130

上記の 3つのアプリケーションを確認するにはOR演算を使して式を構成しますCitrix Gatewayがユーザーデバイス上のアプリケーションの正しいバージョンを検出するとユーザーはログオンできますポリシーダイアログボックスの式は次のように表されます

av_5_Symantec_10 av_5_McAfeevirusscan_11 av_5_sophos_4

複合エクスプレッションの詳細については「複合式を設定する」を参照してください



March 26 2020

事前認証またはクライアントセキュリティセッションポリシーを作成したらポリシーを適するレベルにバインドします事前認証ポリシーは仮想サーバにまたはグローバルにバインドできます

事前認証ポリシーをグローバルに作成およびバインドするには


2 詳細ウィンドウで[事前認証設定の変更]をクリックします3 [グローバル事前認証設定]ダイアログボックスの [操作]で[許可]または [拒否]を選択します4 [名前]にポリシーの名前をします5 [グローバル事前認証 settigns]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします

事前認証ポリシーを仮想サーバにバインドするには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［ポリシー］タブをクリックし［事前認証］をクリックします

4 [詳細]の [ポリシーの挿]をクリックし[ポリシー名]で事前認証ポリシーを選択します5［OK］をクリックします


Citrix Gateway 130



March 26 2020

必要に応じてCitrix Gatewayから事前認証ポリシーを削除できます事前認証ポリシーを削除する前に仮想サーバからまたはグローバルにバインド解除します

グローバルな事前認証ポリシーをバインド解除するには


2 詳細ペインでポリシーを選択し[操作]で [グローバルバインド]をクリックします3 [事前認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスでポリシーを選択し[ポリシーのバインド解除]をクリックして[OK]をクリックします

仮想サーバから事前認証ポリシーをバインド解除するには


2 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［ポリシー］タブをクリックし［事前認証］をクリックします

3 ポリシーを選択し[ポリシーのバインド解除]をクリックします

事前認証ポリシーがバインド解除されている場合はCitrix Gatewayからポリシーを削除できます

事前認証ポリシーを削除するには


2 でポリシーを選択し[削除]をクリックします



Citrix Gateway 130


April 9 2020

認証後のポリシーはセッションをアクティブに保つためにユーザーデバイスが満たす必要のある汎規則のセットですポリシーが失敗するとCitrix Gatewayへの接続は終了します認証後のポリシーを構成する場合条件付きにできるユーザー接続の設定を構成できます

注この機能はCitrix Gatewayプラグインでのみ機能しますユーザーが Citrix Workspaceアプリでログオンした場合エンドポイント分析スキャンはログオン時にのみ実されます

セッションポリシーを使して認証後のポリシーを設定しますまずポリシーを適するユーザーを作成します次にユーザーをグループに追加します次にセッショントラフィックポリシーおよびイントラネットアプリケーションをグループにバインドします

承認グループとしてグループを指定することもできますこのタイプのグループではセッションポリシー内のクライアントセキュリティ表現に基づいてユーザーをグループに割り当てることができます

またユーザーデバイスがポリシーの要件を満たしていない場合にユーザーを隔離グループにれるように認証後のポリシーを設定することもできます単純なポリシーにはクライアントセキュリティ式とクライアントセキュリティメッセージが含まれますユーザーが検疫グループに属している場合ユーザーは Citrix Gatewayにログオンできますがネットワークリソースへのアクセスは制限されます

同じセッションプロファイルとポリシーを使して承認グループと検疫グループを作成することはできません認証後のポリシーを作成する順は同じですセッションポリシーを作成するときは承認グループまたは検疫グループを選択します2つのセッションポリシーを作成し各ポリシーをグループにバインドできます

認証後のポリシーはSmartAccessでも使されますSmartAccessについて詳しくは「Citrix GatewayでのSmartAccess構成」を参照してください



March 26 2020

セッションポリシーを使して認証後のポリシーを構成します単純なポリシーにはクライアントセキュリティ式とクライアントセキュリティメッセージが含まれます


Citrix Gateway 130

認証後のポリシーを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [クライアントセキュリティ]で[グローバルに上書き]をクリックし[新規]をクリックします8 クライアントセキュリティ式を構成し[Create]をクリックします9 [Client Security]の [検疫グループ]でグループを選択します

10 [エラーメッセージ]に認証後のスキャンが失敗した場合にユーザーに受信させるメッセージをします11 [承認グループ]の [グローバルに上書き]をクリックしグループを選択して [追加]をクリックし[OK]をクリックして[作成]をクリックします




April 9 2020

指定した間隔で認証後のポリシーを実するように Citrix Gatewayを構成できますたとえばクライアントセキュリティポリシーを構成し10分ごとにユーザーデバイスで実するとしますこの頻度はポリシー内でカスタム式を作成することによって設定できます

注認証後のポリシーの頻度チェック機能はCitrix Gatewayプラグインでのみ機能しますユーザーがCitrix Workspaceアプリでログオンした場合エンドポイント分析スキャンはログオン時にのみ実されます

この順認証後ポリシーの設定に従ってクライアントセキュリティポリシーを構成するときに頻度 (分単位)を設定できます次の図は[式の追加]ダイアログボックスで頻度値をできる場所をしています

図 1認証後のスキャンの頻度を設定するためのダイアログボックス



Citrix Gateway 130


March 26 2020

ユーザーが Citrix GatewayにログオンするとCitrix Gatewayまたはセキュリティで保護されたネットワーク内の認証サーバーで構成したグループに割り当てられますユーザーが認証後のスキャンに失敗した場合そのユーザーを検疫グループと呼ばれる制限されたグループに割り当てることができますこれによりネットワークリソースへのアクセスが制限されます

また認可グループを使してネットワークリソースへのユーザーアクセスを制限することもできますたとえば電メールサーバーとファイル共有にのみアクセスできる契約担当者のグループがあるとしますユーザーデバイスが Citrix Gatewayで定義したセキュリティ要件に合格するとユーザーは動的にグループのメンバーになることができます

ユーザーグループまたは仮想サーバーにバインドされた検疫グループと承認グループを構成するにはグローバル設定またはセッションポリシーのいずれかを使しますセッションポリシー内のクライアントセキュリティ表現に基づいてユーザーをグループに割り当てることができますユーザーがグループのメンバーである場合CitrixGatewayはグループメンバーシップに基づいてセッションポリシーを適します



March 26 2020

隔離グループを構成する場合セッションプロファイル内の [セキュリティ設定-詳細設定]ダイアログボックスを使してクライアントセキュリティ式を構成します

検疫グループのクライアントセキュリティ式を構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [クライアントセキュリティ]で[グローバルに上書き]をクリックし[新規]をクリックします


Citrix Gateway 130

8 [クライアント式]ダイアログボックスでクライアントセキュリティ式を構成し[作成]をクリックします9 [検疫グループ]でグループを選択します

10 [エラーメッセージ]でユーザーの問題を説明するメッセージをし[作成]をクリックします11 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします

セッションポリシーを作成したらユーザーグループまたは仮想サーバーにバインドします

注

エンドポイント分析スキャンが失敗しユーザーが検疫グループにった場合検疫グループにバインドされたポリシーはその検疫グループにバインドされたポリシーと同等または低い優先順位を持つユーザーに直接バインドされたポリシーがない場合にのみ有効になります

グローバル隔離グループを構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブで[詳細設定]をクリックします4 [クライアントセキュリティ]でクライアントセキュリティ式を構成します5 [検疫グループ]でグループを選択します6 [エラーメッセージ]でユーザーの問題を説明するメッセージをし[OK]をクリックします



March 26 2020

エンドポイント分析スキャンを設定する場合ユーザーデバイスがスキャンに合格したときにユーザーを許可グループに動的に追加できますたとえばユーザーデバイスのドメインのメンバーシップをチェックするエンドポイント分析スキャンを作成しますCitrix Gatewayでドメインに参加したコンピュータと呼ばれるローカルグループを作成しスキャンに合格したユーザーの承認グループとして追加しますユーザーがグループに参加するとユーザーはグループに関連付けられたポリシーを継承します

認可ポリシーをグローバルにバインドすることも仮想サーバにバインドすることもできませんユーザーが CitrixGateway上の別のグループのメンバーとして構成されていない場合承認グループを使してデフォルトの承認ポリシーセットを提供できます


Citrix Gateway 130

セッションポリシーを使して承認グループを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [承認グループ]の [グローバルに上書き]をクリックしドロップダウンリストからグループを選択し[追加]をクリックして [OK]をクリックし[作成]をクリックします


セッションポリシーを作成したらユーザーグループまたは仮想サーバーにバインドできます

グローバル認可グループを設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブで[詳細設定]をクリックします4 [承認グループ]でドロップダウンリストからグループを選択し[追加]をクリックし[OK]を 2回クリックします

承認グループをグローバルにまたはセッションポリシーから削除する場合は[セキュリティの設定-詳細]ダイアログボックスでリストから承認グループを選択し[削除]をクリックします



March 26 2020

Citrix Gatewayではユーザーのログオン時やセッション中の他の構成時にさまざまなエンドポイントセキュリティチェックが提供されセキュリティの向上に役ちますCitrix Gatewayセッションを確できるのはこれらのセキュリティチェックに合格したユーザーデバイスだけです

Citrix Gateway上で構成できるユーザーデバイスのセキュリティチェックの種類を次にします


Citrix Gateway 130

bull アンチスパムbull アンチウイルスbull ファイルポリシーbull インターネットセキュリティbull OSbull パーソナルファイアウォールbull プロセスポリシーbull レジストリポリシーbull サービスポリシー

ユーザーデバイスでセキュリティチェックが失敗した場合後続のチェックに合格するまで新しい接続はわれません（定期的なチェックの場合）ただし既存の接続を通過するトラフィックはCitrix Gatewayを経由してトンネルされ続けます

設定ユーティリティを使するとユーザデバイス上でセキュリティチェックを実するように設計されたセッションポリシー内で事前認証ポリシーまたはセキュリティ表現を設定できます



March 26 2020

ウイルス対策ポリシーファイアウォールポリシーインターネットセキュリティポリシーおよびスパム対策ポリシーの設定は[式の追加]ダイアログボックスでいます各ポリシーの設定は同じです相違点は選択した値ですたとえばNorton AntiVirusバージョン 10および ZoneAlarm Proのユーザーデバイスを確認する場合はセッションポリシーまたは事前認証ポリシー内で各アプリケーションの名前とバージョン番号を指定する 2つの式を作成します

式の種類として [Client Security]を選択すると次の項を構成できます

bull コンポーネントアンチウイルスファイアウォールレジストリエントリなどクライアントセキュリティのタイプ

bull 名前アプリケーションプロセスファイルレジストリエントリまたはオペレーティングシステムの名前bull 修飾式がチェックするコンポーネントのバージョンまたは値bull 演算値が存在するか値と等しいかどうかをチェックしますbull 値ユーザーデバイス上のアンチウイルスファイアウォールインターネットセキュリティまたはスパム対策ソフトウェアのアプリケーションバージョンです

bull 頻度認証後のスキャンを実する頻度 (分単位)


Citrix Gateway 130

bull エラー重み複数の式が異なるエラー字列を持つ場合にネストされた式に含まれる各エラーメッセージに割り当てられた重み重みによって表されるエラーメッセージが決まります

bull 新鮮さウイルス定義がどれくらい古いかを定義しますたとえばウイルス定義が 3以内に経過しないように式を構成できます

クライアントセキュリティポリシーを事前認証またはセッションポリシーに追加するには




a)「コンポーネント」でスキャンするアイテムを選択しますb) [名前]にアプリケーションの名前をしますc)「修飾」で「バージョン」を選択しますd)「演算」で値を選択しますe) [値]にクライアントのセキュリティ字列をし[OK]をクリックし[作成]をクリックして [閉じる]をクリックします



March 26 2020

サービスはユーザーデバイス上でサイレントに実されるプログラムですセッションまたは事前認証ポリシーを作成するときにセッションが確されたときにユーザーデバイスが特定のサービスを確実に実するようにする式を作成できます

サービスポリシーを設定するには

1 構成ユーティリティのナビゲーションペインで次のいずれかの操作をいます


Citrix Gateway 130

a) 構成ユーティリティーの構成タブのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［セッション］をクリックします



a)「コンポーネント」で「サービス」を選択しますb) [名前]にサービスの名前をしますc)「修飾」で空のままにするか「バージョン」を選択しますd)「修飾」での選択に応じて次のいずれかの操作をいます

bull 空のままの場合は「演算」で「==」または「」を選択します=bull [バージョン]を選択した場合は[演算]の [値]に値をし[OK]をクリックして[閉じる]をクリックします

使可能なすべてのサービスの覧と次の場所にあるWindowsベースのコンピュータ上の各サービスの状態を確認できます

[コントロールパネル] gt [管理ツール] gt [サービス]

注各サービスのサービス名はリストされている名前とは異なります[プロパティ]ダイアログボックスを表してサービスの名前を確認します



March 26 2020

セッションまたは事前認証ポリシーを作成するときにユーザーのログオン時にすべてのユーザーデバイスに特定のプロセスが実されるように要求するルールを定義できますこのプロセスは任意のアプリケーションでありカスタマイズされたアプリケーションを含むことができます

注Windowsベースのコンピューターで実されているすべてのプロセスの覧はWindowsタスクマネージャーの [プロセス]タブに表されます


Citrix Gateway 130

プロセスポリシーを設定するには




a)「コンポーネント」で「プロセス」を選択しますb) [名前]にアプリケーションの名前をしますc)「演算」で「EXISTS」または「NOTEXISTS」を選択し「OK」をクリックして「閉じる」をクリックします

エンドポイント分析ポリシー（事前認証または認証後）を設定してプロセスをチェックする場合MD5チェックサムを設定できます

ポリシーの式を作成するときにチェックするプロセスにMD5チェックサムを追加できますたとえばユーザーデバイス上で notepadexeが実されているかどうかを確認する場合式は次のようになりますCLIENTAPPLICATIONPROCESS(notepadexe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS



March 26 2020

セッションまたは事前認証ポリシーを作成するときにクライアントのセキュリティ字列を構成してユーザーのログオン時にユーザーデバイスが特定のオペレーティングシステムを実しているかどうかを判断できますまた式を構成して特定の Service Packまたは修正プログラムを確認することもできます

WindowsおよびMacintoshの値は次のとおりです

OS 値

Mac OS X macos

Windows 81 win81


Citrix Gateway 130

OS 値

Windows 8 win8

Windows 7 win7

Windows Vista vista

Windows XP winxp



Windows 2000 Server win2000

Windows 64-bit platform win64

オペレーティングシステムポリシーを構成するには




a)「コンポーネント」で「オペレーティングシステム」を選択しますb) [名前]にオペレーティングシステムの名前をしますc)「修飾」で次のいずれかの操作をいます

bull 空のままにしますbull [サービスパック]を選択しますbull「修正プログラム」を選択しますbull「バージョン」(Mac OS Xのみ)を選択します

d) 順 Cでの選択に応じて「演算」で次のいずれかの操作をいますbull 修飾が空の場合は「演算」で「等式 (= =)」「NOTEQUAL (」=)存在または注意事項bull [サービスパック]または [修正プログラム]を選択した場合は演算を選択し[値]に値をします


clientos（winxp）spなどのサービスパックを構成する場合［値］フィールドに数値が含まれていない場合式が


Citrix Gateway 130

無効であるためCitrix Gatewayからエラーメッセージが返されます

オペレーティングシステムに Service Pack 3や Service Pack 4などのサービスパックが存在する場合はServicePack 4の存在が動的に以前のサービスパックが存在することをすためService Pack 4のチェックのみを構成できます



March 26 2020

セッションまたは事前認証ポリシーを作成するときにユーザーデバイス上のレジストリエントリの存在と値を確認できますセッションが確されるのは特定のエントリが存在するか設定済みまたはそれ以上の値がある場合だけです

レジストリ式を設定する場合は次のガイドラインに従ってください

bull 4つのバックスラッシュはキーとサブキーを区切るために使されますたとえば

HKEY_LOCAL_MACHINESOFTWARE

bull アンダースコアはサブキーと関連する値の名前を区切るために使されますたとえば

HKEY_LOCAL_MACHINESOFTWAREVirusSoftware_Version

bull バックスラッシュ ()は次の 2つの例のようにスペースを表すために使されます

HKEY_LOCAL_MACHINESOFTWARECitrixSecure Access Client_ProductVersion

CLIENTREG(HKEY_LOCAL_MACHINESoftwareSymantecNorton AntiVirus_Version)VALUE== 12804 -frequency 5

以下はユーザーのログオン時に Citrix Gatewayプラグインのレジストリキーを検索するレジストリ式です

CLIENTREG(secureaccess)VALUE==HKEY_LOCAL_MACHINESOFTWARECITRIXSecureAccessClient_ProductVersion

注意レジストリキーと値をスキャンし「式」ダイアログボックスで「度なフリーフォーム」を選択した場合式はCLIENTREGで始まる必要があります

レジストリチェックは次の最も般的な 5つのタイプでサポートされています

bull HKEY_CLASSES_ROOTbull HKEY_CURRENT_USERbull HKEY_LOCAL_MACHINE


Citrix Gateway 130

bull HKEY_USERSbull HKEY_CURRENT_CONFIG

チェックするレジストリ値は次のタイプを使します

bull 字列

字列値の型の場合字と字の区別がチェックされます

bull DWORD

DWORD型の場合値は較され等しくなければなりません

bull 展開された字列

バイナリやマルチストリングなどの他の型はサポートされていません

bull rsquo==rsquo較演算のみがサポートされています

bull ltgtなどの較演算や字と字を区別する較演算はサポートされていません

bull レジストリ字列のさの合計は 256バイト未満である必要があります

式に値を追加できます値にはソフトウェアバージョンサービスパックのバージョンまたはレジストリに表されるその他の値を指定できますレジストリ内のデータ値がテスト対象の値と致しない場合ユーザーはログオンを拒否されます

注サブキー内の値をスキャンすることはできませんスキャンは名前付きの値と関連するデータ値と致する必要があります

レジストリポリシーを構成するには




a)「コンポーネント」で「レジストリ」を選択しますb) [名前]にレジストリキーの名前をしますc)「修飾」で空のままにするか「値」を選択しますd)「演算」で次のいずれかの操作をいます

bull 修飾が空のままの場合は[存在する]または [メモ]を選択します


Citrix Gateway 130

bull「修飾」で「値」を選択した場合は「==」または「」のいずれかを選択します==e) [値]でレジストリエディターに表される値をし[OK]をクリックし[閉じる]をクリックします



March 26 2020

クライアントセキュリティ字列を組み合わせて複合クライアントセキュリティ式を作成できます

Citrix Gatewayでサポートされているブール演算は次のとおりです

bull And (ampamp)bull Or (||)bull Not ()

精度をめるために括弧を使して字列をグループ化することができます

注コマンドラインを使して式を設定する場合は複合式を作成するときにカッコを使してセキュリティ式をグループ化しますカッコを使するとクライアント式の理解とデバッグが向上します

AND (ampamp)演算を使したポリシーの構成

AND (ampamp)演算は2つのクライアントセキュリティ字列を組み合わせて機能し両のチェックが trueの場合にのみ複合チェックに合格するようにします式は左から右に評価され最初のチェックが失敗した場合2番のチェックは実されません

AND（ampamp）演算はキーワード「AND」または記号rsquoampampamprsquoを使して構成できます

例

以下はユーザーデバイスにバージョン 70の Sophos AntiVirusがインストールされ実されているかどうかを判断するクライアントセキュリティチェックですまた同じコンピュータ上で netlogonサービスが実されているかどうかも確認します

CLIENTAPPLICATIONAV(sophos)version==70 AND CLIENTSVC(netlogon) EXISTS

この字列は次のように設定することもできます

CLIENTAPPLICATIONAV(sophos)version==70 ampamp CLIENTSVC(netlogon) EXISTS


Citrix Gateway 130

OR (||)演算を使したポリシーの構成


Citrix Gateway 130

OR ( ）演算は2つのセキュリティ字列を組み合わせることによって機能しますいずれかのチェックが trueの場合複合チェックは合格します式は左から右に評価され最初のチェックが合格した場合2番のチェックは実されません最初のチェックが合格しない場合は2番のチェックが実されます

次を構成できますOR（

)演算次を使lsquoORrsquoまたは記号rsquo

rsquo

例

以下はユーザーデバイスにファイル cfiletxtがあるかputtyexeプロセスが実されているかを判断するクライアントのセキュリティチェックです

clientfile(cfiletxt) EXISTS) OR (clientproc(puttyexe) EXISTS

この字列は次のように構成できます

clientfile(cfiletxt)EXISTS)

(clientproc(puttyexe) EXISTS

NOT ( ) 演算を使したポリシーの構成

NOT () または否定演算はクライアントのセキュリティ字列を否定します

例

ファイル csophos_virus_defsdatファイルが 2以内に経過している場合次のクライアントセキュリティチェックはパスします

(clientfile(csophos_virus_defsdat)timestamp==2dy)



Citrix Gateway 130

度なエンドポイント分析スキャン

March 26 2020

度なエンドポイント分析（EPA）はCitrix Gatewayアプライアンス上で構成されたエンドポイントセキュリティ要件についてユーザーデバイスをスキャンするために使されますユーザーデバイスが Citrix Gatewayアプライアンスにアクセスしようとすると管理者が Citrix Gatewayアプライアンスへのアクセスを許可する前にデバイス上でオペレーティングシステムウイルス対策Webブラウザーのバージョンなどのセキュリティ情報がスキャンされます

度な EPAスキャンはポリシーベースのスキャンでCitrix Gatewayアプライアンスで事前認証セッションと認証後のセッションを構成できますポリシーはユーザーデバイスでレジストリチェックを実し評価に基づいてCitrix ADCネットワークへのアクセスを許可または拒否します

EPAスキャンにはOPSWATスキャンとシステムスキャンの 2種類があります次のセクションではスキャンの種類とその詳細について説明します

OPSWATスキャンスキャンメカニズムは次のようなさまざまなレベルでセキュリティを提供します


製品固有のスキャン特定の製品 (例Avast 特定のベンダー（例AVAST Software as）が提供する無料アンチウイルス（例アンチウイルス）アクセスは指定した条件を満たすコンピューターにのみ許可されます

ベンダー固有のスキャン特定のベンダー（例AVAST Software as）のスキャン基準を設定できます（例ウイルス対策)構成済みのスキャンではベンダーが提供するすべての製品について指定した基準がチェックされますアクセスは指定した条件を満たすコンピューターにのみ許可されます

汎スキャン特定のカテゴリのスキャン基準を設定できます (例ウイルス対策)構成済みのスキャンではすべてのベンダーおよびベンダーが提供する製品について指定された基準がチェックされますアクセスは指定した条件を満たすコンピューターにのみ許可されます

システムスキャンシステムスキャンはMACアドレスなどのシステムレベルの属性にセキュリティを提供しますシステム属性（MACアドレスなど）のスキャン基準を設定できますアクセスは指定した条件を満たすコンピューターにのみ許可されます


度なエンドポイント分析スキャンの設定

March 26 2020


Citrix Gateway 130

EPAスキャンにはOPSWATスキャンとシステムスキャンの 2種類を設定できます

OPSWATスキャンの設定

以下の OPSWATスキャンはCitrix Gatewayアプライアンス上で構成されます


注特定の製品でサポートされているスキャンはGUIに表されますまた次の OPSWATスキャン設定では事前認証 EPAを例として採していますOPSWATスキャンは認証後の EPAにも設定できます

製品固有のOPSWATスキャンの設定

NetScaler GUIを使して製品固有の OPSWATスキャンを構成するには次の順に従います







7 製品を選択しますたとえばAvast 無料アンチウイルス

8 製品ドロップダウンメニューの隣にある [ + ]をクリックして製品スキャンを設定します


ベンダー固有のOPSWATスキャンの設定

NetScaler GUIを使してベンダー固有の OPSWATスキャンを構成するには次の順に従います








Citrix Gateway 130

7 汎「AVASTソフトウェア」を選択しますベンダー固有のスキャンをスキャンします



汎OPSWATスキャンの設定

NetScalerの GUIを使して汎 OPSWATスキャンを構成するには次の順に従います



3 [AAA事前認証パラメータの設定]ページで[ OPSWAT EPAエディタ]リンクをクリックします



6「汎」カテゴリ固有のスキャン（「汎ウイルス対策製品スキャン」など）を選択します



システムスキャンの設定

Citrix Gatewayアプライアンスでは次のシステムスキャンが構成されます

bull MACアドレスbull ドメインチェックbull 数値レジストリbull 数値レジストリbull Windows Update

NetScaler GUIを使して OPSWATシステムスキャンを構成するには次の順に従います





5 ドロップダウンメニューから的のシステムスキャンを選択しますたとえばMACアドレスなどです




Citrix Gateway 130

EPAライブラリのアップグレード

NetScaler GUIを使して EPAライブラリをアップグレードするには次の順に従います

1「構成」gt「Citrix NetScalergt「クライアントコンポーネントの更新」の順に選択します

2 [クライアントコンポーネントの更新]で [ EPAライブラリのアップグレード]リンクをクリックします

3 必要なファイルを選択し[アップグレード]をクリックします

Citrix ADC スキャンで OPSWAT がサポートする Windows および MAC アプリケーションの覧についてはhttpssupportcitrixcomarticleCTX207623をクリックしてください

度なエンドポイント分析式を使して事前認証プロファイルを設定するには


2 [事前認証]を選択します3 詳細ウィンドウの [プロファイル]タブで[追加]をクリックします4 プロファイルの名前をします5 アクションを選択します6 オプションで停するプロセスまたはクライアントエンドポイントシステム上で削除するファイルの名前をします


プロファイルはリクエストアクションとして事前認証ポリシーで使できるようになりました

度なエンドポイント分析式を使して事前認証ポリシーを設定するには


2 [事前認証]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5「アクションの要求」メニューから的のプロファイルを選択します6 [式]ペインで[OPSWAT EPAエディタ]を選択します7 最初のプルダウンメニューでクライアントオペレーティングシステムを選択します8 表される 2番のプルダウンメニューでスキャンの種類を選択します9 ポリシーの構築が完了したら[Create]をクリックします

度なエンドポイント分析事前認証ポリシーをバインドして有効にする必要があります


Citrix Gateway 130

事前認証ポリシーをバインドするには


2 [事前認証]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4「アクション」メニューから「グローバルバインディング」を選択します5［バインド］をクリックします6 表される [Policies]詳細ペインで的のポリシーの横にあるチェックボックスをオンにします7［Insert］をクリックします8 ポリシーには動的にプライオリティ（重み）が割り当てられます[優先順位]エントリをクリックして必要に応じて編集します


特定のセッションに対して度なエンドポイント分析ポリシーを設定するには


2「セッション」を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5 [操作]メニューで次のいずれかの操作をいます

bull a 既存のアクションを選択しますbull b プラスアイコンをクリックするとセッションポリシーで設定できる構成パラメータが表されます構成オプションの右側にある「オーバーライド」(Override Global)チェックボックスをクリックしてアクティブにします［Create］を選択します

6 [式]ペインで[OPSWAT EPAエディタ]を選択します7 最初のプルダウンメニューでクライアントオペレーティングシステムを選択します8 表される 2番のプルダウンメニューでスキャンの種類を選択します9 ポリシーの構築が完了したら[Create]をクリックします

アドバンスドエンドポイント分析セッションポリシーをバインドして有効にする必要があります

セッションポリシーをバインドするには


2「セッション」を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4「アクション」メニューから「グローバルバインディング」を選択します


Citrix Gateway 130

5［バインド］をクリックします6 表される [Policies]詳細ペインで的のポリシーの横にあるチェックボックスをオンにします7［Insert］をクリックします8 ポリシーには動的にプライオリティ（重み）が割り当てられます[優先順位]エントリをクリックして必要に応じて編集します



度なエンドポイント分析ポリシー式リファレンス

March 26 2020

このリファレンスでは度なエンドポイント分析式の形式と構成について説明しますここに含まれる式要素はCitrix Gateway構成ユーティリティによって動的に構築されるため動で構成する必要はありません

式の書式

度なエンドポイント分析式の形式は次のとおりです

CLIENTAPPLICATION (SCAN-type_ Product-id_ Method-name _ Method-comparator_Method-param _hellip)

各項の意味は次の通りです

SCAN-typeは分析されるアプリケーションのタイプです

product-idは分析されたアプリケーションの製品識別情報です

Method-nameは分析対象の製品またはシステム属性です

法-コンパレータは分析のために選択されたコンパレータです

Method-paramは分析対象の 1つまたは複数の属性値です

次に例をします

clientapplication(ANTIVIR_2600RTP==_TRUE)

注意アプリケーション以外のスキャンタイプの場合式のプレフィックスはCLIENTAPPLICATIONではなく CLIENTSYSTEMです


Citrix Gateway 130

式字列

度なエンドポイント分析でサポートされている各スキャンタイプでは式に意の識別が使されます次の表はスキャンの種類ごとの字列を列挙したものです

スキャンの種類スキャンタイプの式字列

フィッシング対策 ANTIPHI

スパイウェア対策 ANTISPY

アンチウイルス ANTIVIR

バックアップクライアント BACKUP

デバイスアクセスの制御 DEV-CONT

データ損失防 DATA-PREV

デスクトップ共有 DESK-SHARE

ファイアウォール FIREWALL

ヘルスエージェント HEALTH

ハードディスク暗号化 HD-ENC

インスタントメッセンジャー IM

Webブラウザー BROWSER

P2P P2P

パッチ管理 PATCH

URLフィルタリング URL-FILT

MACアドレス MAC

ドメインチェック DOMAIN

数値レジストリスキャン REG-NUM

数値以外のレジストリスキャン REG-NON-NUM

メモ Mac OS X固有のスキャンではメソッドタイプの前にMAC-というプレフィックスが式に含まれますしたがってウイルス対策スキャンとフィッシング対策スキャンでは法はそれぞれMAC-ANTIVIRとMAC-ANTIPHIです例pre codeblockclientapplication(MAC-ANTIVIR_2600RTP==_TRUE)


Citrix Gateway 130

アプリケーションスキャンの法

度なエンドポイント分析式を設定する場合メソッドを使してエンドポイントスキャンのパラメータを定義しますこれらのメソッドにはメソッド名コンパレータおよび値が含まれます次の表は式で使できるすべてのメソッドを列挙しています

般的なスキャン法

次のメソッドは複数のタイプのアプリケーションスキャンに使されます


バージョンアプリケーションのバージョンを指定します


AUTHENTIC 与えられたアプリケーションが本物であるかどうかを確認してください

== TRUE

ENABLED アプリケーションが有効になっているかどうかを確認します

== TRUE

RUNNING アプリケーションが実されているかどうかを確認します

== TRUE

COMMENT コメントフィールド (スキャンでは無視)式内では []によって区切られます

== 任意のテキスト

VERSION字列は1234のように最 4つの値から成る 10進字列を指定できます

AUTHENTICチェックはアプリケーションのバイナリファイルの信頼性を検証します

注意アプリケーションスキャンのタイプには汎バージョンを選択できます般的なスキャンを選択すると商品 IDは 0になります

Gatewayにはソフトウェアの種類ごとに汎スキャンを設定するオプションがあります般的なスキャンを使して管理者は任意の特定の製品にスキャンチェックを制限することなくクライアントマシンをスキャンすることができます

汎スキャンではユーザーシステムにインストールされている製品がそのスキャン法をサポートしている場合にのみスキャン法が機能します特定のスキャン法をサポートする製品についてはCitrixサポートにお問い合わせください

固有のスキャン法


Citrix Gateway 130

次のメソッドは指定した種類のスキャンに固有のものです


ENABLED-FOR 選択したアプリケーションでフィッシング対策ソフトウェアが有効になっているかどうかを確認します

allof anyofnoneof Windowsの場合Internet ExplorerMozilla FirefoxGoogle ChromeOpera SafariMacの場合 Safari MozillaFirefox GoogleChrome Opera

表 2 スパイウェア対策とウイルス対策


RTP リアルタイム保護がオンになっているかどうかを確認します

== TRUE

SCAN-TIME システム全体のスキャンが実されてからの時間（分）


VIRDEF-FILE-TIME ウイルス定義ファイルが更新されてからの時間(つまりウイルス定義ファイルのスタンプから現在のタイムスタンプまでの分数)


VIRDEF-FILE-VERSION 定義ファイルのバージョン


ENGINE-VERSION エンジンのバージョン lt lt= gt gt= = == バージョン字列

表 3 バックアップクライアント


Citrix Gateway 130


LAST-BK-ACTIVITY 最後のバックアップアクティビティが完了してから何分経過したか


表 4 データ消失防


ENABLED アプリケーションが有効かどうかおよび時間保護がオンになっているかどうかをチェックします

== TRUE

表 5 ヘルスチェックエージェント


SYSTEM-COMPL システムが準拠しているかどうかを確認します

== TRUE

表 6 ハードディスク暗号化


ENC-PATH 暗号化ステータスを確認するための PATH


ENC-TYPE 指定されたパスの暗号化の種類を確認します

すべての任意のなし次のオプションを含むリスト暗号化部暗号化仮想化サスペンド保全中

表 7 Webブラウザー


Citrix Gateway 130


DEFAULT デフォルトのブラウザとして設定されているかどうかを確認します

== TRUE

表 8 パッチ管理 ltcaptiongt

|法 |説明 |較演算 |指定可能な値 ||mdash |mdash |mdash |mdash ||SCAN-TIME|パッチの最後のスキャンが実されてからの時間（分）|lt lt= gt gt= = ==|任意の正の数 ||MISSED-PATCH|クライアントシステムではこれらのタイプのパッチが落していません|anyof noneof|事前選択された（パッチマネージャサーバ上で事前に選択されたパッチ）NON|


ADDR クライアントマシンのMACアドレスが指定されたリストに含まれているかどうかをチェックします

anyof noneof 編集可能リスト

表 10 ドメインメンバシップ ltcaptiongt|法 |説明 |較演算 |指定可能な値 ||mdash |mdash |mdash |mdash ||SUFFIX| 指定されたリストにクライアントマシンが存在するか存在しないかを確認してください|anyofnoneof|編集可能リスト |


Citrix Gateway 130


PATH レジストリチェックのパス形式HKEY_LOCAL_MACHINESOFTWARECitrixSecureAccessClientEnableAutoUpdate特殊字のエスケープは必要ありませんすべてのレジストリルートキーHKEY_LOCAL_MACHINEHKEY_CURRENT_USERHKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG



Citrix Gateway 130


REDIR-64 64ビットリダイレクトに従いますTRUEに設定するとWOWリダイレクトが実されます（32ビットシステムではレジストリパスがチェックされますが64ビットシステムではWOWリダイレクトパスがチェックされます）設定されていない場合WOWリダイレクトはわれません（つまり32ビットおよび 64ビットシステムの場合同じレジストリパスがチェックされます）リダイレクトされないレジストリエントリの場合この設定は無効です64ビットシステムでリダイレクトされるレジストリキーの覧については次の資料を参照してくださいhttpmsdnmicrosoftcomen-uslibraryaa38425328v=vs8529aspx

== TRUE

VALUE 上記のパスに期待される値このスキャンはレジストリの種類のREG_DWORDとREG_QWORDに対してのみ機能します

lt lt= gt gt= = == 任意の数

|法 |説明 |較演算 |指定可能な値 ||mdash |mdash |mdash |mdash |


Citrix Gateway 130

|PATH|レジストリチェックのパスレジストリスキャンで数値タイプを確認します|NO OPERATOR|任意のテキスト ||REDIR-64|64ビットリダイレクトに従いますレジストリスキャンで数値型をチェックしてください|==|TRUE||VALUE|上記のパスに期待される値字列型のレジストリエントリの場合レジストリ値は期待値に対して直接較されますREG_BINARYレジストリエントリの種類ではレジストリ値が字の 16進字列に変換されこの字列が期待値と較されます|== =|任意のテキスト |


度なエンドポイント分析スキャンのトラブルシューティング

March 26 2020

度なエンドポイント分析スキャンのトラブルシューティングを援するためにクライアントプラグインはログ情報をクライアントエンドポイントシステム上のファイルに書き込みますこれらのログファイルはユーザーのオペレーティングシステムに応じて次のディレクトリにあります

Windows Vista Windows 7 Windows 8 Windows 81 Windows 10

CUsersltusernamegtAppDataLocalCitrixAGEEnsepatxt

Windows XP

CDocuments and SettingsAll UsersApplication DataCitrixAGEEnsepatxt

Mac OS X systems

~LibraryApplication SupportCitrixEPAPluginepapluginlog

（~記号は該当するMac OS Xユーザのホームディレクトリパスをします）



March 26 2020

ユーザーセッションは「アクティブユーザーセッション」ダイアログボックスの構成ユーティリティで管理できますこのダイアログボックスにはCitrix Gateway上のアクティブなユーザーセッションのリストが表されます


Citrix Gateway 130

このダイアログボックスではユーザー名グループ名または IPアドレスを使してユーザーまたはグループセッションを終了できます

このダイアログボックスではアクティブなセッションを表することもできますセッション情報には以下が含まれます

bull ユーザー名bull ユーザーデバイスの IPアドレスbull ユーザーデバイスのポート番号bull 仮想サーバの IPアドレスbull 仮想サーバのポート番号bull ユーザーに割り当てられたイントラネット IPアドレス

ユーザーセッションを表するには


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 [セッション]の下のセッションの覧を表します

セッションリストを更新するには

Citrix Gatewayへのセッションに関する更新情報を取得できます


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 [更新]をクリックします

ユーザーまたはグループのセッションを終了するには

ユーザーおよびグループのセッションを終了できます特定のイントラネット IPアドレスとサブネットマスクを持つセッションを終了することもできます


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 [セッション]でユーザーまたはグループを選択し[終了]をクリックします


Citrix Gateway 130

イントラネット IPアドレスを使してセッションを終了するには


2 詳細ウィンドウの [接続の監視]で[アクティブなユーザーセッション]をクリックします3 イントラネット IPの選択4 [イントラネット IP]に IPアドレスをします5 [ネットマスク]にサブネットマスクをし[終了]をクリックします


AlwaysON

March 26 2020

Citrix Gatewayの AlwaysON機能を使するとユーザーは常に企業ネットワークに接続できますこの永続的なVPN接続はVPNトンネルの動確によって実現されます

注

AlwaysON機能はCitrix ADC 120ビルド 5124以降のキャプティブポータルをサポートします

AlwaysONにするタイミング

AlwaysONはユーザーの位置に基づいてシームレスな VPN接続を提供しVPNに接続していないユーザーによるネットワークアクセスを防する必要がある場合に使します

次のシナリオはAlwaysONの使法をしています

bull 従業員は企業ネットワークの外部でラップトップを起動しVPN接続を確するための援を必要としています解決策ラップトップが企業ネットワークの外部で起動されるとAlwaysONはトンネルをシームレスに確しVPN接続を提供します

bull VPN接続を使する従業員は企業ネットワークに移します従業員は企業ネットワークに切り替えられますがVPNトンネルに接続されたままですがこれは望ましい状態ではありません解決策従業員が企業ネットワークに移するとAlwaysOnは VPNトンネルを切断し従業員を企業ネットワークにシームレスに切り替えます

bull 従業員が企業ネットワークの外に移動してラップトップを閉じます (シャットダウンしません)従業員はラップトップで作業を再開する際VPN接続を確するための援を必要とします解決策従業員が企業ネットワークの外に移動するとAlwaysONはトンネルをシームレスに確しVPN接続を提供します


Citrix Gateway 130

bull ある企業はVPNトンネルに接続されていないユーザに対して提供されるネットワークアクセスを規制したいと考えています解決法設定に応じてAlwaysONはアクセスを制限しユーザーは Gatewayネットワークのみにアクセスできるようにします

AlwaysONフレームワークについて

AlwaysONはクライアントが以前に確した VPNトンネルにユーザを動的に接続しますユーザーが初めてVPNトンネルを必要とする場合ユーザーは Citrix Gatewayの URLに接続してトンネルを確する必要がありますAlwaysON設定がクライアントにダウンロードされた後この設定はトンネルのその後の確を駆動します

Citrix Gatewayクライアント実可能ファイルは常にクライアントマシンで実されますユーザーがログオンしたりネットワークが変更されたりするとCitrix Gatewayクライアントはユーザーのラップトップが企業ネットワーク上にあるかどうかを判断します場所と構成に応じてCitrix Gatewayクライアントはトンネルを確するか既存のトンネルを切断します

トンネルの確はユーザーがコンピューターにログオンした後にのみ開始されますCitrix Gatewayクライアントはクライアントマシンの資格情報を使して Gatewayサーバーとの認証をいトンネルの確を試みます

トンネルの動再確

VPNトンネルが Citrix Gatewayによって切断されるとトンネルの動再確がトリガーされます

注

エンドポイント分析の失敗でCitrix Gatewayクライアントはトンネルの確を再試しませんがエラーメッセージを表します認証に失敗した場合Citrix Gatewayクライアントはユーザーに資格情報のを要求します

シームレスなトンネル確でサポートされるユーザ認証式

サポートされているユーザー認証法は次のとおりです

bull ユーザー名と ADパスワード認証にWindowsのユーザー名とパスワードが使されている場合CitrixGatewayクライアントはこれらの資格情報を使してトンネルをシームレスに確します

bull ユーザー証明書認証にユーザー証明書が使されマシン上に証明書が 1つしかない場合Citrix Gatewayクライアントはこの証明書を使してトンネルをシームレスに確します複数のクライアント証明書がインストールされている場合ユーザが優先証明書を選択した後にトンネルが確されますCitrix Gatewayクライアントは後で確されたトンネルに対してこの設定を使します

bull ユーザー証明書とユーザー名 + ADパスワードこの認証法は前述の認証法の組み合わせです


Citrix Gateway 130

注

その他の認証メカニズムはすべてサポートされていますがトンネルの確は他の認証式に対してシームレスではありません他のすべての認証法ではユーザーの介が必要です

AlwaysONの設定要件

エンタープライズ管理者は管理対象デバイスに対して次のことを強制する必要があります

bull 特定の構成のプロセスサービスを終了できないことbull ユーザーが特定の構成のためにパッケージをアンインストールできないことbull ユーザーは特定のレジストリエントリを変更できません

注

管理対象外のデバイスの場合と同様にユーザーが管理権限を持っている場合この機能は期待どおりに機能しないことがあります

AlwaysON機能を有効にする際の考慮事項

AlwaysON機能を有効にする前に次のセクションを確認してください

プライマリネットワークアクセストンネルが確されると企業ネットワークへのトラフィックはスプリットトンネルの構成に基づいて決定されますこの動作をオーバーライドするための追加の設定は提供されません

クライアントマシンのプロキシ設定クライアントマシンのプロキシ設定はGatewayサーバーへの接続時に無視されます

注

Citrix ADCアプライアンスのプロキシ構成は無視されませんクライアントマシンのプロキシ設定のみが無視されますシステムにプロキシが設定されているユーザにはVPNプラグインがプロキシ設定を無視したことが通知されます

構成値が「拒否」に設定されている場合次の変更が適されます

bull クライアント UI-プラグインのコンテキストメニューとプラグイン UIの [ログオフ]オプションと [終了]オプションが無効になりますユーザーは Gateway URLを変更できません

bull ブラウザのログオン-別の Gatewayへのブラウザのログオンは許可されていませんクライアントコントロールは無効です

AlwaysONの構成

AlwaysONを構成するにはCitrix Gateway wayアプライアンスで AlwaysOnプロファイルを作成しプロファイルを適します


Citrix Gateway 130

AlwaysOnプロファイルを作成するには次の順に従います

1 Citrix ADC GUIで［構成］gt［Citrix Gateway］gt［ポリシー］gt［AlwaysON］の順に選択します2 [AlwaysONプロファイル]ページで[追加]をクリックします3 [AlwaysONプロファイルの作成]ページで次の詳細をします

bull [名前] mdashプロファイルの名前bull ロケーションベースの VPN mdash次のいずれかの設定を選択します

ndash [リモート] クライアントが企業ネットワーク内にあるかどうかを検出し企業ネットワーク内にない場合はトンネルを確できるようにしますこれがデフォルトの設定です

ndash クライアントの場所に関係なくクライアントが場所の検出をスキップしてトンネルを確できるようにする場所

bull「クライアント制御」mdash次のいずれかの設定を選択しますndash ユーザーがログオフして別の Gatewayに接続できないようにするには[拒否]をクリックしますこれがデフォルトの設定です

ndash ユーザーがログオフして別の Gatewayに接続できるようにすることを許可しますbull「VPNでのネットワークアクセス障害」mdash次のいずれかの設定を選択します

ndash [フルアクセス] トンネルが確されていないときにクライアントとの間でネットワークトラフィックが送受信されるようにしますこれがデフォルトの設定です

ndash トンネルが確されていないときにクライアントとの間でネットワークトラフィックが流れるのを防ぐには[ Gatewayへのみ]を選択しますただしGateway IPアドレスとの間で送受信されるトラフィックは許可されます

4 [作成]をクリックしてプロファイルの作成を終了します

AlwaysOnプロファイルを適するには次の順に従います

1 Citrix ADCインターフェイスで［構成］＞ Citrix Gateway＞［グローバル設定］を選択します2 [グローバル設定]ページで[グローバル設定の変更]リンクをクリックし[クライアントエクスペリエンス]タブを選択します

3 [ AlwaysONプロファイル名]ドロップダウンメニューから新しく作成したプロファイルを選択し[ OK ]をクリックします

注

同様の構成はグループレベルサーバーレバーまたはユーザーレベルでポリシーを適するためにセッションプロファイルでうことができます

管理ユーザと管理者ユーザに対するさまざまな設定の動作の要約

次の表はさまざまな構成の動作をまとめたものですまたAlwaysON機能に影響を与える可能性のある特定のユーザー操作の可能性についても詳しく説明します


Citrix Gateway 130

networkAccessONVPNFailureクライアント制御管理者以外のユーザー管理者ユーザー

fullaccess 許可トンネルは動的に確されますユーザーはログオフしてネットワークから離れることができますユーザーは別のCitrix Gatewayをポイントすることもできます

トンネルは動的に確されますユーザーはログオフしてエンタープライズネットワークから離れたままにすることができますユーザーは別の Citrix Gatewayをポイントすることもできます

fullaccess 禁トンネルが動的に確されますユーザーがログオフしたり別のCitrix Gatewayをポイントしたりすることはできません


onlyToGateway 許可トンネルは動的に確されますユーザーはログオフできます（ネットワークアクセスなし）ユーザーは別の CitrixGatewayをポイントすることもできますこの場合アクセスは新しくポイントされた CitrixGatewayにのみ与えられます


onlyToGateway 禁トンネルが動的に確されますユーザーがログオフしたり別のCitrix Gatewayをポイントしたりすることはできません



Citrix Gateway 130

AlwaysOnがダウンしているときに URLをホワイトリストに登録する

AlwaysONがダウンしネットワークがロックされている場合でもユーザーはいくつかのWebサイトにアクセスできます管理者は AlwaysOnWhitelistレジストリを使してAlwaysOnが停しているときにアクセスを有効にするWebサイトを追加できます

注

bull AlwaysOnWhitelistレジストリはリリース 130ビルド 47x以降でサポートされていますbull AlwaysOnWhitelistレジストリの場所はComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure

Access Clientbull Wildcard URLsFQDNsは AlwaysOnWhitelistレジストリでサポートされていません

AlwaysOnWhitelistレジストリを設定するには

AlwaysOnWhitelistレジストリにアクセスを許可する FQDNIPアドレス範囲または IPアドレスのセミコロン区切りのリストを設定します

例mycompanycom-mycdncom-10120670-101206725567676767

次の図はAlwaysOnWhitelistレジストリのサンプルをしています


Windowsログオン前に AlwaysON VPN (正式には AlwaysOnサービス)

April 9 2020

Windowsログオン前の AlwaysOn VPN機能を使するとユーザーがWindowsシステムにログインする前でもマシンレベルの VPNトンネルを確できますトンネルはマシンがシャットダウンするまでアクティブのままですユーザログイン後デバイスレベルの VPNトンネルはユーザレベルの VPNトンネルによって引き継がれますユーザがログオフするとユーザレベルトンネルが切断されデバイスレベルトンネルが確されますWindowsログオン前の AlwaysOn VPNは度なポリシーのみを使して構成できます詳しくは「Windowsログオン前に AlwaysONの VPNを構成する」を参照してください

Windowsログオン前に AlwaysON VPNには次の項が含まれます

bull Windowsマシンは企業のアクティブディレクトリ（AD）を使してユーザーのログイン資格情報を検証することができマシン上のWindows資格情報はキャッシュされませんまた新しい企業の ADユーザーはマシンにシームレスにログオンできます

bull Windowsマシンはユーザーがログインする前でも企業イントラネットの部となりIT管理者はデバッグ的で企業ネットワークからクライアントマシンにアクセスできます


Citrix Gateway 130

bull 異なるユーザーがマシンにログインしたりログアウトしたりしてもWindowsマシンの VPNトンネルは接続されたままです

注意事項

bull Citrix Gatewayおよび VPNプラグインはバージョン 1304120以降である必要がありますbull クライアントマシンにインターネット接続がない場合Windowsログオン前に AlwaysOn VPNはVPNトンネルを確する前にインターネット接続が使可能になるまで待機します

bull クライアントマシンがキャプティブポータルネットワークに接続されている場合Windowsログオンの前にAlwaysOn VPNはユーザーがキャプティブポータルへの認証を待機しますユーザーがログインしてインターネットアクセスが有効になるとWindowsログオン前に AlwaysOn VPNによって VPNトンネルが確されます

bull Windowsログオン前の VPN機能ではCitrix ADCのキャプティブポータルがサポートされますbull Windowsでログオン資格情報のキャッシュオプションが有効になっていない場合ユーザーは次のシナリオでログオンできません

ndash マシンにインターネット接続がありませんndash マシンがキャプティブポータルネットワークに接続されている

Windowsログオン構成の前にAlwaysOn VPNの後のWindows資格情報マネージャーの画

Windowsログオン前に AlwaysOn VPN機能を設定するとWindows資格情報マネージャー画が次のように変更されます

ログオン画で [サインインオプション]をクリックすると次の情報が表されます

bull Citrix Gatewayアイコンはマシンが Citrix Gatewayに接続されているかどうかをしますbull ユーザ構成モードに応じて次のいずれかのステートメントがログオン画に表されます

ndash Citrix Gatewayがサービスモードで接続されているndash Citrix Gatewayがユーザーモードで接続されている


Windowsログオン前に AlwaysONの VPNを構成する

April 9 2020

Windowsログオン前の AlwaysONの VPNでは次の機能が提供されます

bull 管理者はユーザーがドメイン Controllerに接続してパスワードを変更できるを使してリモートで作業する最初のユーザーにワンタイムパスワードを提供します

bull 管理者はユーザーがログインする前にデバイスに対して ADポリシーをリモートで管理適します


Citrix Gateway 130

bull 管理者はユーザーがログオンした後ユーザーグループに基づいてユーザーにきめ細かいレベルの制御を提供しますたとえばユーザーレベルのトンネルを使して特定のユーザーグループに対するリソースへのアクセスを制限または提供することができます

bull ユーザートンネルはユーザーの要件に従ってMFAに設定できますbull 複数のユーザーが同じマシンを使することができ選択的なリソースへのアクセスはユーザープロファイルに基づいて提供されますたとえばキオスクでは複数のユーザーが間をかけずにマシンを使できます

bull リモートで作業しているユーザーはドメイン Controllerに接続してパスワードを変更します

Windowsログオン前の AlwaysONの VPNについて

Windowsログオン機能前に AlwaysOn VPNのイベントのフローを次にします

bull ユーザーがラップトップをオンにするとデバイス証明書をアイデンティティとして使して CitrixGatewayに向けてマシンレベルのトンネルが確されます

bull ユーザーはAD資格情報を使してラップトップにログインしますbull ログイン後ユーザーはMFAに挑戦されますbull 認証に成功するとマシンレベルのトンネルがユーザレベルのトンネルに置き換えられますbull ユーザがログアウトするとユーザレベルのトンネルはマシンレベルのトンネルに置き換えられます

GUIを使してWindowsログオン前に AlwaysONの VPNを構成する

前提要件

bull Citrix Gatewayおよび VPNプラグインはバージョン 1304120以降である必要がありますbull Citrix ADCアドバンストエディション以降はソリューションが動作するために必要とされますbull この機能を構成するには度なポリシーを使します

構成には次のまかな順が含まれます

bull 認証プロファイルの作成bull 認証仮想サーバーを作成するbull 認証ポリシーの作成bull 認証プロファイルにポリシーをバインドする

GUIを使して機能を設定するには

クライアント証明書ベースの認証

1［構成］タブで［Citrix Gateway］gt［仮想サーバー］に移動します

2［Citrix Gateway仮想サーバー］ページで既存の仮想サーバーを選択し［編集］をクリックします


Citrix Gateway 130

3 [VPN仮想サーバー]ページで[編集]アイコンをクリックします

4 [デバイス証明書の CA ]セクションの横にある [追加]をクリックし[ OK ]をクリックします

注 [デバイス証明書を有効にする]チェックボックスは選択しないでください

5 CA証明書を仮想サーバーにバインドするには[証明書]セクションの [ CA 証明書 ]をクリックします[ SSL仮想サーバー CA証明書のバインド]ページの [バインドの追加]をクリックします

6 [クリックして必要な証明書を選択する]というテキストをクリックします

7 必要な CA証明書を選択します


9 [VPN仮想サーバー]ページの [認証プロファイル]セクションで[追加]をクリックします

10 [認証プロファイルの作成]ページで認証プロファイルの名前をし[追加]をクリックします

11 [認証仮想サーバー]ページで認証仮想サーバーの名前をし[IPアドレスの種類]として [アドレス不可能]を選択し [ OK ]をクリックします

12 [度な認証ポリシー]で[認証ポリシー]をクリックします



a) 事前認証ポリシーの名前をしますb) [アクションタイプ]リストから [ EPA ]を選択しますc) [アクション]の横にある [追加]をクリックします

15 [認証 EPAアクションの作成]ページで

a) 作成する EPAアクションの名前をしますb)「式」フィールドに「sysclient_expr」（「デバイス証明書 0_0」）としますc)［作成］をクリックします


a) 認証ポリシーの名前をしますb) [式]フィールドに is_aoserviceとしますc)［作成］をクリックします

17 [ポリシーバインディング]ページで[優先度]に 100とし[バインド]をクリックします

注マシンレベルのトンネル設定はこれで完了ですWindowsログオン後にユーザーレベルのトンネルを使しない場合は順 18〜 25をスキップしてクライアント側の構成を続できます


Citrix Gateway 130

Windowsログオン後にマシンレベルのトンネルをユーザーレベルのトンネルに置き換えるには以下の設定を続します

18 順 17でバインドされたポリシーの [終了 ]ではなく [次の式へ移動]を変更します

19 [認証仮想サーバー]ページで[認証ポリシー]をクリックします

20 [認証ポリシー]ページで[バインドの追加]タブをクリックします



a) 作成する「認証なし」ポリシーの名前をします

b) アクションタイプを No_AUTHNとして選択します

c) [式]フィールドに is_aoservice inとします

d)［作成］をクリックします

注式 is_aoservicein tはCitrix Gatewayバージョン 130ビルド 4120以降から有効です

23 [ポリシーのバインディング]ページで[優先度]に 110とし[次の要素の選択]の横にある [追加]をクリックします

24 [認証ポリシーのラベル]ページでLDAP認証ポリシーを作成しますLDAP認証ポリシーを作成するには次の記事を参照してください詳細については構成ユーティリティを使して LDAP認証を構成するにはを参照してください

25 [ポリシーのバインド]ページで [バインド]をクリックします

クライアント側の構成

AlwaysOnlocationDetectionおよびサフィックスリストのレジストリはオプションでありロケーション検出機能が必要な場合にのみ必要です


AlwaysOnService REG_DWORD 1 =gtユーザーペルソナなしでAlwaysOnサービスを有効にする2 =gtユーザーペルソナでAlwaysOnサービスを有効にする

常に URLに付いています REG SZ 接続先の Citrix Gateway仮想サーバーユーザーの URLです例httpsxyzcompanyDomaincom


Citrix Gateway 130


AlwaysOn REG_DWORD 1 =gt VPN障害時にネットワークアクセスを許可する 2=gt VPN障害時にネットワークアクセスをブロックする

locationDetection REG_DWORD 1 =gt位置検出を有効にするには0 =gt位置検出を無効にするには

suffixList REG SZ イントラネットドメインのカンマ区切りリスト位置検出が有効な場合に使されます

これらのレジストリエントリの詳細については「AlwaysOn」を参照してください

クラシックポリシーを使してWindowsログオンの前に AlwaysOn VPNを構成するには「クラシックポリシーを使してWindowsログオン前に常時 VPNを構成する」を参照してください



April 9 2020

Citrix Gatewayを使する Citrix ADC1つの URL

Citrix Gatewayを搭載した Citrix ADCによりデスクトップユーザーおよびモバイルユーザー向けの単の URLを介してあらゆるアプリケーションへのセキュアなアクセスを簡素化できますこの単の URLの背後にある管理者はアプリケーションへのリモートアクセスの構成セキュリティおよび制御を元管理できますまたリモートユーザーは必要なすべてのアプリケーションへのシームレスなシングルサインオンとログインログアウトの使いやすさによりエクスペリエンスが向上しています

これを実現するためにCitrix ADC with GatewayはCitrix ADCのコンテンツスイッチング機能および広範な認証インフラストラクチャとともにこの単の URLを介して組織のサイトやアプリケーションへのアクセスを提供しますさらにリモートユーザーはiOSまたは Androidのモバイルデバイスおよび Citrix Gatewayクライアントプラグインとともに LinuxPCまたはMacシステムを使してどこにいても Citrix GatewayURLに統されたアクセスが可能です

Citrix Gatewayデプロイメントでは次のカテゴリのアプリケーションへの単 URLアクセスを許可します


Citrix Gateway 130

bull イントラネットアプリケーションbull クライアントレスアプリケーションbull サービスとしてのソフトウェアアプリケーションbull Citrix ADCによって提供される構成済みアプリケーションbull Citrix Virtual Apps and Desktopsの公開アプリケーション

イントラネットアプリケーションはセキュアなエンタープライズネットワーク内に存在する任意のWebベースアプリケーションですこれらは組織のイントラネットサイトバグ追跡アプリケーションWikiなどの内部リソースです

通常セキュアな企業ネットワーク内に常駐するクライアントレスアプリケーション Citrix GatewayはOutlookWeb Accessおよび SharePointへの単の URLアクセスを提供しますこれらのアプリケーションはリモートユーザーが利できる必要のある専のクライアントソフトウェアを使せずにExchangeメールおよびチームリソースへのアクセスを提供します

SaaSアプリケーションはクラウドアプリケーションとも呼ばれSharefileSalesForceNetSuiteなどの組織が依存する外部のクラウドベースのアプリケーションですSAMLベースのシングルサインオンはこれを提供する SaaSアプリケーションでサポートされています

組織によってはCitrix ADCの負荷分散構成で展開された Citrix ADCのアプリケーションがあらかじめ構成されている場合があります多くの場合これは「リバースプロキシ」アプリケーションとも呼ばれますCitrix Gatewayは展開の仮想サーバーが同じ Citrix ADC Citrix Gatewayインスタンスまたはアプライアンス上にある場合にこれらのアプリケーションをサポートしますこれらのアプリケーションはCitrix Gateway構成とは独した独の認証構成を持つ場合があります

公開されている Citrix Virtual Apps and Desktopsの公開アプリケーションはCitrix Gatewayの URLから利できますSmartAccessおよび SmartControlポリシーは必要に応じて詳細なポリシーおよびこれらのリソースへのアクセス制御に適できます

Citrix Gateway構成ウィザード

CitrixCitrix Gateway構成ウィザードを使して Citrix ADCを構成する場合推奨される法はCitrix Gateway構成ウィザードを使することですウィザードでは構成を順を追って実し必要なすべての仮想サーバーポリシーおよび式を作成し提供された詳細に基づいて設定を適します初期セットアップ後ウィザードを使して配置を管理しその動作を監視できます

注Citrix Gateway構成ウィザードではシステムの初期構成は実されませんCitrix Gatewayを構成する前にCitrix Gatewayアプライアンスまたは VPXインスタンスの基本インストールが完了している必要があります基本的な設定を完了初回セットアップウィザードを使した Citrix Gatewayの構成するにはのインストール順を参照してください

ウィザードによって構成される Citrix Gatewayの要素は次のとおりです

bull Citrix Gatewayのプライマリ仮想サーバー


Citrix Gateway 130

bull Citrix Gateway仮想サーバーの SSLサーバー証明書bull プライマリ認証および任意のオプションのセカンダリ認証設定bull ポータルテーマの選択とオプションのカスタマイズbull Citrix Gatewayポータルからアクセスされるユーザーアプリケーション

これらの要素ごとに設定情報を指定する必要がありますCitrix Gatewayの基本的な展開では次の情報が必要です

bull プライマリ Citrix Gateway仮想サーバーの場合展開環境のパブリック IPアドレスと IPポート番号これはDNSで Citrix Gatewayの URLのホスト名に解決される IPアドレスですたとえばCitrix Gatewayデプロイメントの URLがhttpsmycompanycomの場合IPアドレスはmycompanycomに解決する必要があります

bull デプロイメントの署名付き SSLサーバー証明書Citrix GatewayはPEMまたは PFX形式の証明書をサポートしています

bull プライマリ認証サーバ情報この認証構成でサポートされる認証システムはLDAPActive DirectoryRADIUSおよび証明書ベースですセカンダリ LDAPまたは RADIUS認証設定を作成することもできます認証サーバの IPアドレスは関連する管理者の資格情報またはディレクトリ属性とともに提供する必要があります証明書認証ではデバイス証明書アトリビュートと CA証明書を指定する必要があります

bull ポータルテーマを選択できますカスタマイズまたはブランド化されたポータルデザインが必要な場合はウィザードを使してカスタムグラフィックをシステムにアップロードできます

bull Webベースのユーザアプリケーションの場合個々のアプリケーションの URLを指定する必要がありますSAMLシングルサインオン認証を利するWebアプリケーションの場合ユーティリティはアサーションコンシューマーサービス URLを他のオプションの SAMLパラメータとともに収集しますSAML認証システムを使するアプリケーションの構成の詳細を事前に収集します

bull Citrix Gateway展開で Citrix Virtual Apps and Desktopsの公開リソースを利できるようにするには統合ポイント（StoreFrontWeb Interfaceまたは Citrix ADC上のWeb Interface）を指定する必要がありますユーティリティには統合ポイントの完全修飾ドメイン名サイトパスシングルサインオンドメインSecure Ticket Authority (STA)サーバー URLおよび統合ポイントの種類に応じてその他のものが必要です

追加の構成管理

代替 SSL設定やセッションポリシーなどCitrix Gateway構成ユーティリティでは利できないサイト固有の設定についてはCitrix Gateway構成ユーティリティで必要な設定を管理できますCitrix Gateway構成ユーティリティによって作成されたコンテンツスイッチングまたは VPN仮想サーバーでこれらの設定を変更できます


Citrix Gateway 130

コンテンツスイッチング仮想サーバ

これは展開のメイン IPアドレスと URLの背後にある Citrix ADC構成エンティティですSSLサーバーの証明書とパラメーターはこの仮想サーバー上で管理されますこの仮想サーバは展開の応答ネットワークホストであるため必要に応じて ICMPサーバの応答と RHIの状態をこの仮想サーバ上で変更できますコンテンツスイッチング仮想サーバーは[トラフィック管理] gt [コンテンツスイッチング] gt [仮想サーバー]の [設定]タブにあります

VPN仮想サーバー

Citrix Gateway構成の他の VPNパラメータプロファイルポリシーバインディングはすべてメイン認証構成を含めこの仮想サーバー上で管理されますこのエンティティはCitrix Gateway gt仮想サーバーの「構成」タブで管理されます関連する VPN仮想サーバーの名前にはCitrix Gatewayの初期構成時にコンテンツスイッチング仮想サーバーに与えられた名前が含まれます

注Citrix Gateway展開に作成された VPN仮想サーバーはアドレス指定できず0000の IPアドレスが割り当てられます


Unified Gatewayに関する FAQ

March 26 2020

Unified Gatewayとは

Unified GatewayはCitrix ADC 110リリースの新機能であり単の仮想サーバー（Unified Gateway仮想サーバーと呼ばれます）でトラフィックを受信し必要に応じてそのトラフィックを内部的に転送してUnifiedGateway仮想サーバーにバインドされた仮想サーバーに転送する機能を提供します

Unified Gateway機能を使するとエンドユーザは単の IPアドレスまたはURL（Unified Gateway仮想サーバに関連付けられている）を使して複数のサービスにアクセスできます管理者はIPアドレスを解放しCitrixGateway展開の構成を簡素化できます

各 Unified Gateway仮想サーバーは1台の Citrix Gateway仮想サーバーをフロントエンドできますまたフォーメーションの環としてゼロ個以上の負荷分散仮想サーバーをフロントエンドできますUnified GatewayはCitrix ADCアプライアンスのコンテンツスイッチング機能を利して機能します

Unified Gatewayの配置の例を次にします

bull Unified Gateway仮想サーバー-gt [1つの Citrix Gateway仮想サーバー]


Citrix Gateway 130

bull Unified Gateway仮想サーバー-gt [Citrix Gateway仮想サーバー 1つ負荷分散仮想サーバー 1つ]bull Unified Gateway仮想サーバー-gt [Citrix Gateway仮想サーバー 1台負荷分散仮想サーバー 2台]bull Unified Gateway仮想サーバー-gt [Citrix Gateway仮想サーバー 1台負荷分散仮想サーバー 3台]

各負荷分散仮想サーバーにはMicrosoft Exchangeや Citrix ShareFileなどのバックエンドサービスをホストする標準の負荷分散サーバーを使できます

Unified Gatewayを使する理由

Unified Gateway機能を使するとエンドユーザは単の IPアドレスまたはURL（Unified Gateway仮想サーバに関連付けられている）を使して複数のサービスにアクセスできます管理者はIPアドレスを解放しCitrixGateway展開の構成を簡素化できるという利点があります

複数の Unified Gateway仮想サーバを使できますか

はいUnified Gateway仮想サーバは必要な数だけ存在できます

Unified Gatewayでコンテンツスイッチングが必要なのはなぜですか

コンテンツスイッチング仮想サーバはトラフィックを受信し内部的に適切な仮想サーバに送信するためコンテンツスイッチング機能が必要ですコンテンツスイッチング仮想サーバはUnified Gateway機能のプライマリコンポーネントです

110より前のリリースではコンテンツスイッチングを使して複数の仮想サーバのトラフィックを受信できますその使は Unified Gatewayとも呼ばれていますか

複数の仮想サーバのトラフィックを受信するためのコンテンツスイッチング仮想サーバの使は110より前のリリースでサポートされていますただしコンテンツスイッチングではCitrix Gateway仮想サーバーにトラフィックを送信できませんでした

110の機能強化によりコンテンツスイッチング仮想サーバーは Citrix Gateway仮想サーバーを含む任意の仮想サーバーにトラフィックを転送できます

Unified Gatewayのコンテンツスイッチングポリシーで何が変わったのですか

1 コンテンツスイッチングアクションに新しいコマンドラインパラメータ「-targetVserver」が追加されました新しいパラメーターはターゲットの Citrix Gateway仮想サーバーを指定するために使されます例

アクション UG_CSACT_MyUGターゲット Vサーバ UG_VPN_MyUGを追加

Citrix Gateway構成ユーティリティではコンテンツスイッチング操作にCitrix Gateway仮想サーバーを参照できる「ターゲット仮想サーバー」という新しいオプションが追加されました

2 新しい度なポリシー表現 is_vpn_urlを使してCitrix Gatewayおよび認証固有の要求を照合できます


Citrix Gateway 130

Unified Gatewayでは現在サポートされていない Citrix Gatewayの機能は何ですか

Unified Gatewayではすべての機能がサポートされていますただしVPNプラグインを介したネイティブログオンではマイナーな問題 (問題 ID 544325)が報告されていますこの場合シームレスなシングルサインオン(SSO)は機能しません

Unified GatewayではEPAスキャンの動作はどのようなものですか

Unified Gatewayではエンドポイント分析は Citrix Gatewayのアクセス法でのみトリガーされAAA-TMアクセスではトリガーされませんCitrix Gateway仮想サーバーで認証がわれた場合でもユーザーが AAA-TM仮想サーバーにアクセスしようとするとEPAスキャンはトリガーされませんただしユーザがクライアントレスVPNフル VPNアクセスを取得しようとすると設定された EPAスキャンがトリガーされますこの場合認証またはシームレスな SSOのいずれかが実されます

セットアップ

Unified Gatewayのライセンス要件はどのようなものですか

Unified GatewayはアドバンストライセンスとプレミアムライセンスでのみサポートされますCitrix Gatewayのみまたは標準ライセンスエディションでは使できません

Unified Gatewayで使される Citrix Gateway仮想サーバーにはIPポートSSL構成が必要ですか

Unified Gateway仮想サーバーで使される Citrix Gateway仮想サーバーの場合Citrix Gateway仮想サーバー上で IPポートSSL構成は必要ありませんただしRDPプロキシ機能では同じ SSLTLSサーバー証明書をCitrix Gateway仮想サーバーにバインドできます

Unified Gateway仮想サーバーで使するためにCitrix Gateway仮想サーバー上にある SSLTLS証明書を再プロビジョニングする必要がありますか

現在 Citrix Gateway仮想サーバーにバインドされている証明書を再プロビジョニングする必要はありません既存の SSL証明書は由に再利できこれらを Unified Gateway仮想サーバにバインドできます

単 URLとマルチホスト展開の違いは何ですかどちらが必要ですか

単の URLとはUnified Gateway仮想サーバが 1つの完全修飾ドメイン名 (FQDN)のトラフィックを処理する機能ですこの制限はUnified GatewayがFQDNが設定された証明書のサブジェクトを持つ SSLTLSサーバ証明書を使する場合に発しますたとえば次のようにします

ただしUnified Gatewayがワイルドカードサーバ証明書を使している場合複数のサブドメインのトラフィックを処理できます例citrixcom


Citrix Gateway 130

もう 1つのオプションは複数の SSLTLSサーバー証明書のバインドを可能にするサーバー名インジケータ (SNI)機能を持つ SSLTLS構成です例オーサトリックスオーサトリックスオーサトリックスオーサトリックス

単ホストと複数ホストはWebサイトがWebサーバー (Apache HTTPサーバーやMicrosoftインターネットインフォメーションサービス (IIS)など)でホストされる法に似ていますホストが 1つある場合はApacheでエイリアスまたは「仮想ディレクトリ」を使する場合と同じ法でサイトパスを使してトラフィックを切り替えることができます複数のホストがある場合はApacheで仮想ホストを使する法と同様にホストヘッダーを使してトラフィックを切り替えます

認証

Unified Gatewayではどのような認証メカニズムを使できますか

Citrix Gatewayで動作する既存の認証メカニズムはすべてUnified Gatewayで動作します

これにはLDAPRADIUSSAMLKerberos証明書ベースの認証などがあります

Citrix Gateway仮想サーバーが Unified Gateway仮想サーバーの背後に配置されるときにアップグレードが動的に使される前にCitrix Gateway仮想サーバー上で構成されている認証メカニズムアドレス指定できないIPアドレス（0000）を Citrix Gateway仮想サーバーに割り当てる以外に追加の構成順は必要ありません

「認証」認証とは何ですか

SelfAuthは認証タイプではありませんSelfAuthはURLの作成法を記述しますVPN URL設定では新しいコマンドラインパラメータ ssotypeを使できます例

gt add vpn url RGB RGB rdquohttpbluecitrixlabrdquo-vServerName Blue -ssotypeselfauth

SelfAuthはssotypeパラメータの値の 1つですこのタイプの URLを使してUnified Gateway仮想サーバと同じドメイン内にないリソースにアクセスできますこの設定はブックマークを設定するときに構成ユーティリティに表されます

「ステップアップ」認証」とは何ですか

AAA-TMリソースへのアクセスにさらに安全なレベルの認証が必要な場合はStepUp認証を使できますコマンドラインで authnProfileコマンドを使して認証レベルパラメータを設定します例

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHostauthcitrixlab -AuthenticationDomain citrixlab -AuthenticationLevel 100

この認証プロファイルは負荷分散仮想サーバーにバインドされます

ステップアップ認証は AAA-TM仮想サーバでサポートされていますか


Citrix Gateway 130

はいサポートされています

度ログインログアウトとは何ですか

1回ログインするVPNユーザーはAAA-TMまたは Citrix Gateway仮想サーバーに 1回ログインしますその後VPNユーザーはすべてのエンタープライズクラウドWebアプリケーションにシームレスにアクセスできますユーザーを再認証する必要はありませんただし再認証はAAA-TM StepUpなどの特殊な場合にわれます

度ログアウトする最初の AAA-TMセッションまたは Citrix Gatewayセッションが作成されるとそのユーザーの後続の AAA-TMセッションまたは Citrix Gatewayセッションの作成に使されますこれらのセッションのいずれかがログアウトされるとCitrix ADCアプライアンスはユーザーの他のアプリケーションまたはセッションもログアウトします

共通認証ポリシーはロードバランシング仮想サーバレベルで AAA-TMロードバランシング仮想サーバ固有の認証バインドを使して Unified Gatewayレベルで指定できますかこのユースケースをサポートするための構成順は何ですか

Unified Gatewayの背後にある AAA-TM仮想サーバに対して個別の認証ポリシーを指定する必要がある場合は別個のアドレス指定可能な認証仮想サーバが必要です（通常の AAA-TM設定と同様）負荷分散仮想サーバーの認証ホストの設定はこの認証仮想サーバーを指している必要があります

バインドされた AAA-TM仮想サーバに独の認証ポリシーが設定されるようにUnified Gatewayをどのように設定しますか

このシナリオではロードバランシングサーバにAAA-TM仮想サーバを指すように認証 FQDNオプションが設定されている必要がありますAAA-TM仮想サーバーは独した IPアドレスを持っておりCitrix ADCおよびクライアントから到達可能である必要があります

Unified Gateway仮想サーバを経由するユーザを認証するにはAAA-TM認証仮想サーバが必要ですか

いいえCitrix Gateway仮想サーバーはAAA-TMユーザーも認証します

Citrix Gateway認証ポリシーはUnified Gateway仮想サーバーと Citrix Gateway仮想サーバーのどちらで指定しますか

認証ポリシーはCitrix Gateway仮想サーバーにバインドされます

Unified Gatewayコンテンツスイッチング仮想サーバの背後にある AAA-TM仮想サーバで認証を有効にするにはどうすればよいですか

AAA-TMで認証を有効にし認証ホストを Unified Gatewayコンテンツスイッチング FQDNにポイントします


Citrix Gateway 130

AAA-Traffic Management

コンテンツスイッチングの背後に TM仮想サーバーを追加するにはどうすればよいですか（単 URLとマルチホスト）

単の URLに AAA-TM仮想サーバを追加することと複数のホストに追加することには違いはありませんいずれの場合も仮想サーバーはコンテンツスイッチングアクションのターゲットとして追加されます単の URLとマルチホストの違いはコンテンツスイッチングポリシールールによって実装されます

仮想サーバが Unified Gateway仮想サーバの背後に移動された場合AAA-TMロードバランシング仮想サーバにバインドされた認証ポリシーはどうなりますか

認証ポリシーは認証仮想サーバーにバインドされ認証仮想サーバーは負荷分散仮想サーバーにバインドされますUnified Gateway仮想サーバーの場合Citrix Gateway仮想サーバーを単の認証ポイントとして使することをお勧めしますこれにより認証仮想サーバー上で認証を実する必要がなくなります（または特定の認証仮想サーバーを使する必要もあります）認証ホストを Unified Gateway仮想サーバー FQDNにポイントすると認証が Citrix Gateway仮想サーバーによってわれることが保証されますUnified Gatewayのコンテンツスイッチングを認証ホストにポイントしても認証仮想サーバがバインドされている場合認証仮想サーバにバインドされた認証ポリシーは無視されますただし認証ホストをアドレス指定可能な独した認証仮想サーバーに指定するとバインドされた認証ポリシーが有効になります

AAA-TMセッションのセッションポリシーをどのように設定しますか

Unified GatewayでAAA-TM仮想サーバーに認証仮想サーバーが指定されていない場合AAA-TMセッションはCitrix Gatewayセッションポリシーを継承します認証仮想サーバが指定されている場合その仮想サーバにバインドされた AAA-TMセッションポリシーが適されます

ポータルのカスタマイズ

Citrix ADC 110での Citrix Gatewayポータルへの変更は何ですか

Citrix ADCリリース 110より前のバージョンでは単のポータルのカスタマイズをグローバルレベルで設定できます特定の Citrix ADCアプライアンスのすべての Gateway仮想サーバーはグローバルポータルのカスタマイズを使します

Citrix ADC 110ではポータルテーマ機能を使して複数のポータルテーマを設定できますテーマはグローバルにバインドすることも特定の仮想サーバーにバインドすることもできます

Citrix ADC 110はCitrix Gatewayポータルのカスタマイズをサポートしていますか


Citrix Gateway 130

構成ユーティリティーを使すると新しいポータルテーマ機能を使して新しいポータルテーマを完全にカスタマイズおよび作成できます異なる画像をアップロードしたりカラースキームを設定したりテキストラベルを変更したりすることができます

カスタマイズ可能なポータルページは次のとおりです

bull ログインページbull エンドポイント分析ページbull エンドポイント分析エラーページbull ポストエンドポイント分析ページbull VPN接続ページbull ポータルのホームページ

このリリースではCitrix Gateway仮想サーバーを独のポータル設計でカスタマイズできます

ポータルテーマはCitrix ADC可性またはクラスター展開でサポートされていますか

はいポータルのテーマはCitrix ADC可性およびクラスター展開でサポートされています

Citrix ADC 110のアップグレードプロセスの部としてカスタマイズが移されますか

いいえrcconfrcnetscaler ファイルの変更または 101105 のカスタムテーマ機能を使して呼び出されるCitrix Gatewayポータルページの既存のカスタマイズはCitrix ADC 110へのアップグレード時に動的に移されません

Citrix ADC 110でポータルテーマの準備のために従うべきアップグレード前の順はありますか

既存のカスタマイズはすべてrcconfファイルまたは rcnetscalerファイルから削除する必要があります

もう 1つのオプションはカスタムテーマを使する場合は[既定]の設定を割り当てる必要があることです

［構成］gt Citrix Gateway gt［グローバル設定］に移動します

[グローバル設定の変更]をクリックします[クライアントエクスペリエンス]をクリックし[ UIテーマ]ドロップダウンリストから [デフォルト]を選択します

私はrcconfまたは rcnetscalerによって呼び出される Citrix ADCインスタンスに保存されているカスタマイズを持っていますポータルテーマに移動する法

Citrix ADCナレッジセンターの記事CTX126206ではCitrix ADC 93と 100のビルド 735001eまでこのような構成の詳細をリリースしますCitrix ADC 100は 100 735002e（101および 105を含む）をビルドするためUITHEMEカスタムパラメータを使すると再起動後もカスタマイズを維持できますカスタマイズが Citrix ADCハードドライブに保存されていてこれらのカスタマイズを引き続き使する場合は110の GUIファイルをバックアップし既存のカスタムテーマファイルに挿しますポータルテーマに移動する場合はまず「クライアントエクスペリエンス」の「グローバル設定」または「セッションプロファイル」の「UITHEME」パラメーターの


Citrix Gateway 130

設定を解除する必要がありますまたはデフォルトまたはグリーンバブルに設定することもできますその後ポータルテーマの作成とバインドを開始できます

Citrix ADC 110にアップグレードする前に現在のカスタマイズをエクスポートして保存するにはどうすればよいですかエクスポートしたファイルを別の Citrix ADCアプライアンスに移動できますか

ns_gui_customフォルダにアップロードされたカスタマイズされたファイルはディスク上にありアップグレード後も保持されますただしこれらのファイルは新しい Citrix ADC 110カーネルおよびカーネルの部である他の GUIファイルと完全には互換性がない場合がありますしたがって110の GUIファイルをバックアップしバックアップをカスタマイズすることをお勧めします

さらに構成ユーティリティーにはns_custom_guiフォルダーを別の Citrix ADCアプライアンスにエクスポートするユーティリティーはありませんCitrix ADCインスタンスからファイルを削除するにはSSHまたはWinSCPなどのファイル転送ユーティリティを使する必要があります

ポータルテーマは AAA-TM仮想サーバーでサポートされていますか

はいポータルテーマはAAA-TM仮想サーバーでサポートされています

RDPプロキシ

Citrix Gateway 110の RDPプロキシで何が変更されましたか

Citrix ADC 105e拡張リリース以降RDPプロキシには多くの機能が強化されていますCitrix ADC 110ではこの機能は最初にリリースされたビルドから利できます

ライセンスの変更

Citrix ADC 110の RDPプロキシ機能はプレミアムエディションとアドバンスエディションでのみ使できますCitrix同時ユーザー（CCU）ライセンスはユーザーごとに取得する必要があります

コマンドを有効にする

Citrix ADC 105eではRDPプロキシを有効にするコマンドはありませんでしたCitrix ADC 110では次のコマンドが追加されました

フィーチャー rdpproxyの有効化

このコマンドを実するには機能のライセンスが必要です


Citrix Gateway 130

その他の RDPプロキシの変更

サーバプロファイルの PSK（事前共有キー）属性が必須になりました

RDPプロキシの既存の Citrix ADC 105e構成を Citrix ADC 110に移するには以下の詳細を理解し対処する必要があります

管理者が既存の RDPプロキシ設定を選択した Unified Gateway配置に追加する場合は次の順を実します

bull Citrix Gateway仮想サーバーの IPアドレスを編集しアドレス指定できない IPアドレス（0000）に設定する必要があります

bull SSLTLSサーバー証明書認証ポリシーは選択したUnified Gateway構成の部である Citrix Gatewayway仮想サーバーにバインドする必要があります

Citrix ADC 105eに基づくリモートデスクトッププロトコル（RDP）プロキシ構成を Citrix ADC 110に移するにはどうすればよいですか

オプション 1プレミアムライセンスまたはアドバンスライセンスを使して既存の Citrix Gateway仮想サーバーを RDPプロキシ構成のままにします

オプション 2既存の Citrix Gateway仮想サーバーを RDPプロキシ構成で移動しUnified Gateway仮想サーバーの背後に配置します

オプション 3RDPプロキシ構成を持つスタンドアロンの Citrix Gateway仮想サーバーを既存の標準エディションアプライアンスに追加します

Citrix ADC 110リリースを使してRDPプロキシ構成に Citrix Gatewayをどのようにセットアップしますか

NS 110リリースを使して RDPプロキシを展開するには次の 2つのオプションがあります

1）外部にした Citrix Gateway仮想サーバーを使するこれにはCitrix Gateway仮想サーバーの外部からえる IPアドレスFQDNが 1つ必要ですこのオプションはCitrix ADC 105eで利できるものです

2）Citrix Gateway仮想サーバーのフロントエンドの Unified Gateway仮想サーバーを使する

オプション 2ではアドレス指定不可能な IPアドレス（0000）を使するためCitrix Gateway仮想サーバーは独の IPアドレスFQDNを必要としません

他の Citrixソフトウェアとの統合

HDX Insightは Unified Gatewayと連携しますか

Citrix Gatewayを Unified Gatewayで展開する場合Citrix Gateway仮想サーバーには有効な SSL証明書がバインドされている必要がありますまたHDX Insightレポートに Citrix ADCInsight Centerの AppFlowレコードを成するにはその証明書が UP状態である必要があります


Citrix Gateway 130

既存の HDX Insight構成を移するにはどうすればよいですか

移は不要ですCitrix Gateway仮想サーバーにバインドされた AppFlowポリシーはその Citrix Gateway仮想サーバーが Unified Gateway仮想サーバーの背後に配置されている場合に引き継がれます

Citrix Gateway仮想サーバーの Citrix ADC Insight Centerにある既存のデータについては次の 2つの可能性があります

bull Citrix Gateway仮想サーバーの IPアドレスがUnified Gatewayへの移の環としてUnified Gateway仮想サーバーに割り当てられている場合データは Citrix Gateway仮想サーバーにリンクされたままになります

bull Unified Gateway仮想サーバーに別の IPアドレスが割り当てられている場合Citrix Gateway仮想サーバーの AppFlowデータはその新しい IPアドレスにリンクされますしたがって既存のデータは新しいデータの部にはなりません


ダブルホップ DMZでの展開

March 26 2020

内部ネットワークを保護するために3つのファイアウォールを使する場合があります3つのファイアウォールはDMZを 2つの段階にわけて内部ネットワークにさらなるセキュリティを提供しますこのネットワーク構成をダブルホップ DMZと呼びます


注説明のため前述の例ではStoreFrontWeb Interfaceおよび Citrix Virtual Appsで 3つのファイアウォールを使したダブルホップ構成について説明していますがDMZ内に 1つのアプライアンス安全なネットワーク内に 1つのアプライアンスを含むダブルホップ DMZを使することもできますDMZ内の 1つのアプライアンスとセキュアネットワーク内の 1つのアプライアンスでダブルホップ構成を構成する場合3番のファイアウォールでポートを開く順は無視できます

ダブルホップ DMZはCitrix StoreFrontまたは CitrixCitrix Gatewayプロキシと並してインストールされたWeb Interfaceと連携するように構成できますユーザーはCitrix Workspaceアプリを使して接続します

注StoreFrontを使してダブルホップ DMZに Citrix Gatewayを展開するとCitrix Workspaceアプリの電メールベースの動検出が機能しません



Citrix Gateway 130

ダブルホップ DMZでの Citrix Gatewayの展開

March 26 2020

内部ネットワークを保護するために3つのファイアウォールを使する場合があります3つのファイアウォールはDMZを 2つの段階にわけて内部ネットワークにさらなるセキュリティを提供しますこのネットワーク構成をダブルホップ DMZと呼びますCitrix Virtual Appsおよび StoreFrontを使してダブルホップ DMZにCitrix Gatewayを展開できます


注説明のため前述の例では3つのファイアウォールとWeb Interfaceを使したダブルホップ構成について説明していますがDMZ内の 1つのアプライアンスとセキュアネットワーク内の 1つのアプライアンスを持つダブルホップ DMZを使することもできますDMZ内の 1つのアプライアンスとセキュアネットワーク内の 1つのアプライアンスでダブルホップ構成を構成する場合3番のファイアウォールでポートを開く順は無視できます

ダブルホップ DMZはCitrix StoreFrontまたはWeb Interfaceで動作するように構成できますユーザーはCitrix Workspaceアプリを使して接続します

注

StoreFrontを使してダブルホップ DMZに Citrix Gatewayを展開するとCitrix Workspaceアプリの電メールベースの動検出が機能しません



March 26 2020

Citrix Gatewayアプライアンスをダブルホップ DMZに展開してCitrix Virtual Appsを実しているサーバーへのアクセスを制御できますダブルホップ展開での接続は次のようにわれます

bull ユーザーはWebブラウザーを使しCitrix Workspaceアプリを使して公開アプリケーションを選択することにより最初の DMZで Citrix Gatewayに接続します

bull Citrix Workspaceはユーザーデバイス上で起動されますユーザーはCitrix Gatewayに接続してセキュアネットワーク内のサーバーファームで実されている公開アプリケーションにアクセスします

注ダブルホップ DMZ展開ではSecure Hubと Citrix Gatewayプラグインはサポートされていませんユーザー接続にはCitrix Workspaceアプリのみが使されます


Citrix Gateway 130

bull 最初の DMZの Citrix Gatewayはユーザー接続を処理しSSL VPNのセキュリティ機能を実しますこの Citrix Gatewayはユーザー接続を暗号化しユーザーの認証法を決定し内部ネットワーク上のサーバーへのアクセスを制御します

bull 2つの DMZの Citrix GatewayはCitrix Gatewayのプロキシデバイスとして機能しますこの CitrixGatewayではICAトラフィックが 2番の DMZを通過してサーバーファームへのユーザー接続を完了できます最初の DMZの Citrix Gatewayと内部ネットワークの Secure Ticket Authority（STA）間の通信も2番の DMZの Citrix Gatewayを介してプロキシされます

Citrix GatewayはIPv4および IPv6接続をサポートしています構成ユーティリティを使して IPv6アドレスを構成できます

次の表にさまざまな ICA機能のダブルホップ展開のサポートをします

ICA機能ダブルホップのサポート

SmartAccess はい

SmartControl はい

Enlightened Data Transport（EDT）はい

HDX Insight はい

ICAセッションの信頼性（ポート 2598）はい

ICAセッションの移はい

ICAセッションのタイムアウトはい

マルチストリーム ICA はい

Framehawk いいえ

UDPオーディオいいえ


ダブルホップ DMZ配置における通信フロー

April 9 2020

ダブルホップDMZ展開に関連する構成上の問題を理解するにはダブルホップDMZ展開におけるさまざまな CitrixGatewayコンポーネントと Citrix Virtual Appsコンポーネントがどのように通信してユーザー接続をサポートしているかを理解する必要がありますStoreFrontとWeb Interfaceの接続プロセスは同じです


Citrix Gateway 130

ユーザー接続プロセスは 1つの連続フローでわれますが順については次の 4つのトピックで詳しく説明します

bull ユーザーの認証bull Session Ticketの作成bull Citrix Workspaceアプリの起動bull 接続の完了

次の図はStoreFrontまたはWeb Interfaceへのユーザー接続プロセスで発する順をしていますセキュアなネットワークではCitrix Virtual Appsを実しているコンピューターはSecure Ticket Authority（STA）XMLサービスおよび公開アプリケーションも実します

図 1ダブルホップ DMZユーザ接続プロセス



March 26 2020

ユーザ認証はダブルホップ DMZ展開におけるユーザ接続プロセスの最初のステップです次の図はこの展開におけるユーザー接続プロセスをしています

図 1ダブルホップ DMZにおけるユーザ認証のための通信フロー

ユーザー認証段階では次の基本プロセスが実されます

1 ユーザーは最初の DMZで Citrix Gatewayに接続するWebブラウザーなどでCitrix Gatewayのアドレス（httpswwwngwxycocomなど）をしますCitrix Gateway atewayでログオンページ認証を有効にした場合Citrix Gatewayはユーザーを認証します

2 最初の DMZ内の Citrix Gatewayは要求を受信します3 Citrix GatewayはWebブラウザーの接続をWeb Interfaceにリダイレクトします4 Web Interfaceは内部ネットワークのサーバーファームで実されている Citrix XML Serviceにユーザーの資格情報を送信します

5 Citrixの XMLサービスはユーザーを認証します6 XMLサービスはユーザーがアクセスを許可されている公開アプリケーションのリストを作成しこのリストをWeb Interfaceに送信します

Citrix Gatewayで認証を有効にするとアプライアンスは Citrix Gatewayのログオンページをユーザーに送信しますユーザーがログオンページで認証資格情報をするとアプライアンスはユーザーを認証しますその後Citrix Gatewayユーザーの資格情報がWeb Interfaceに返されます

認証を有効にしない場合Citrix Gatewayは認証を実しませんアプライアンスはWeb Interfaceに接続しWeb Interfaceログオンページを取得しWeb Interfaceログオンページをユーザーに送信しますユーザー


Citrix Gateway 130

がWeb Interfaceログオンページで認証資格情報をするとCitrix Gatewayがユーザーの資格情報をWebInterfaceに戻します



March 26 2020

セッションチケットの作成はダブルホップ DMZ展開におけるユーザー接続プロセスの第 2段階です

セッションチケット作成段階では次の基本プロセスが実されます

1 Web Interfaceは内部ネットワークの XMLサービスと Secure Ticket Authority（STA）の両と通信しユーザーがアクセスを許可されている公開アプリケーションのセッションチケットを成しますセッションチケットには公開アプリケーションをホストする Citrix Virtual Appsを実しているコンピューターのエイリアスアドレスが含まれています

2 STAは公開アプリケーションをホストするサーバーの IPアドレスを保存しますSTAは要求されたセッションチケットをWeb Interfaceに送信します各セッションチケットには公開アプリケーションをホストするサーバーの IPアドレスを表すエイリアスが含まれますが実際の IPアドレスは含まれません

3 Web Interfaceは公開アプリケーションごとに ICAファイルを成しますICAファイルにはSTAが発したチケットが含まれています次にWeb InterfaceによってWebページが作成され公開アプリケーションへのリンクのリストがされこのWebページがユーザーデバイス上のWebブラウザに送信されます



March 26 2020

Citrix Workspaceアプリの起動はダブルホップ DMZ展開におけるユーザー接続プロセスの第 3段階です基本的なプロセスは次のとおりです

1 ユーザーはWeb Interfaceで公開アプリケーションへのリンクをクリックしますWeb Interfaceはその公開アプリケーションの ICAファイルをユーザーデバイスのブラウザに送信します

ICAファイルにはWebブラウザに Receiverを起動するように指するデータが含まれています


Citrix Gateway 130

ICAファイルには最初の DMZの Citrix Gatewayの完全修飾ドメイン名（FQDN）またはドメインネームシステム（DNS）名も含まれます

2 Webブラウザーで Receiverが起動しユーザーは ICAファイルの Citrix Gateway名を使して最初のDMZの Citrix Gatewayに接続します初期 SSLTLSハンドシェイクがわれCitrix Gatewayを実しているサーバーの識別情報が確されます


接続の完了

March 26 2020

接続の完了はダブルホップ DMZ展開におけるユーザー接続プロセスの第 4段階と最終段階です

接続完了段階では次の基本プロセスが実されます

bull ユーザーはWeb Interfaceで公開アプリケーションへのリンクをクリックしますbull WebブラウザはWeb Interfaceによって成された ICAファイルを受信しCitrix Workspaceアプリを起動します注ICAファイルにはCitrix Workspaceアプリを起動するようにWebブラウザーに指するコードが含まれています

bull Citrix Workspaceアプリは最初の DMZで Citrix Gatewayへの ICA接続を開始しますbull 最初の DMZの Citrix Gatewayは内部ネットワークの Secure Ticket Authority（STA）と通信しセッションチケットのエイリアスアドレスをCitrix Virtual Appsまたは StoreFrontを実しているコンピュータの実際の IPアドレスに解決しますこの通信はCitrix Gatewayプロキシによって 2番の DMZを介してプロキシされます

bull 最初の DMZの Citrix GatewayはCitrix Workspaceアプリへの ICA接続を完了しますbull Citrix Workspaceアプリは両の Citrix Gatewayアプライアンスを経由して内部ネットワーク上の

Citrix Virtual Appsを実しているコンピューターと通信できるようになりました

ユーザー接続プロセスを完了するための詳細な順は次のとおりです

1 Citrix Workspaceアプリは公開アプリケーションの STAチケットを最初の DMZの Citrix Gatewayに送信します

2 最初の DMZの Citrix Gatewayはチケットの検証のために内部ネットワークの STAに接続しますSTAに接続するためにCitrix Gatewayは2番の DMZの Citrix Gatewayプロキシに SSL接続を備えたSOCKSまたは SOCKSを確します

3 2番の DMZの Citrix Gatewayプロキシはチケット検証要求を内部ネットワークの STAに渡しますSTAはチケットを検証し公開アプリケーションをホストする Citrix Virtual Appsを実しているコンピュータにチケットをマッピングします


Citrix Gateway 130

4 STAは2番の DMZの Citrix Gatewayプロキシに応答を送信しますこのプロキシは最初の DMZのCitrix Gatewayに渡されますこの応答はチケットの検証を完了し公開アプリケーションをホストするコンピューターの IPアドレスが含まれます

5 最初の DMZの Citrix GatewayはCitrix Virtual Appsサーバーのアドレスをユーザー接続パケットに組み込みこのパケットを 2番の DMZの Citrix Gatewayプロキシに送信します

6 2番の DMZの Citrix Gatewayプロキシは接続パケットで指定されたサーバーへの接続要求をいます7 サーバーは2番の DMZの Citrix Gatewayプロキシに応答します2番の DMZの Citrix Gatewayプロキシはこの応答を最初の DMZの Citrix Gatewayに渡して最初の DMZのサーバーと Citrix Gateway間の接続を完了します

8 最初の DMZの Citrix Gatewayは最終的な接続パケットをユーザーデバイスに渡すことによってユーザーデバイスとの SSLTLSハンドシェイクを完了しますユーザーデバイスからサーバーへの接続が確されます

9 ICAトラフィックはユーザーデバイスとサーバー間で最初の DMZでは Citrix Gatewayと2番のDMZでは Citrix Gatewayプロキシを経由して流れます


ダブルホップ DMZ配置の準備

March 26 2020

ダブルホップ DMZ配置の設定時に適切に準備し不要な問題を回避するには次の質問に答える必要があります

bull 負荷分散をサポートしますかbull ファイアウォールでどのポートを開く必要がありますかbull SSL証明書はいくつ必要ですかbull 展開を開始する前にどのようなコンポーネントが必要ですか

このセクションのトピックには環境に応じてこれらの質問に答えるための情報が含まれています

配置を開始するために必要なコンポーネント

ダブルホップ DMZ展開を開始する前に次のコンポーネントがあることを確認します

bull 少なくとも2つの Citrix Gatewayアプライアンス（DMZごとに 1つずつ）が利可能である必要があります

bull Citrix Virtual Appsを実しているサーバーは内部ネットワークにインストールされ動作している必要があります


Citrix Gateway 130

bull Web Interfaceまたは Storefrontを 2番の DMZにインストールし内部ネットワークのサーバーファームで動作するように構成する必要があります

bull 少なくとも最初の DMZの Citrix Gatewayに 1つの SSLサーバー証明書をインストールする必要がありますこの証明書によりCitrix GatewayへのWebブラウザーとユーザー接続が暗号化されます

ダブルホップ DMZ展開の他のコンポーネント間で発する接続を暗号化する場合は追加の証明書が必要です


ダブルホップ DMZでの Citrix Gatewayのインストールと構成

March 26 2020

ダブルホップ DMZに Citrix Gatewayを展開するにはいくつかの順を実する必要があります順には両の DMZにアプライアンスをインストールしユーザーデバイス接続にアプライアンスを構成する順が含まれます

最初の DMZへの Citrix Gatewayのインストール

最初の DMZに Citrix Gatewayをインストールするにはの順に従いますModel MPX 5500アプライアンスのインストール

最初の DMZに複数の Citrix Gatewayアプライアンスをインストールする場合はロードバランサーの背後にアプライアンスを展開できます

最初の DMZでの Citrix Gatewayの構成

ダブルホップ DMZ展開では最初の DMZ内の各 Citrix Gatewayを構成して2番の DMZの StoreFrontまたはWeb Interfaceに接続をリダイレクトする必要があります

StoreFrontまたはWeb InterfaceへのリダイレクトはCitrix Gatewayグローバルまたは仮想サーバーレベルで実されますCitrix Gateway経由でWeb Interfaceに接続するにはユーザーがWeb Interfaceへのリダイレクトが有効になっている Citrix Gatewayユーザーグループに関連付けられている必要があります

2番の DMZへの Citrix Gatewayのインストール

2つのDMZのCitrix Gatewayアプライアンスは2つのDMZで ICAおよび STA（Secure Ticket Authority）トラフィックをプロキシするためCitrix Gatewayプロキシと呼ばれます


Citrix Gateway 130

Model MPX 5500アプライアンスのインストールの順に従って各 Citrix Gatewayアプライアンスを 2つのDMZにインストールします

このインストール順を使して2台の DMZに追加のアプライアンスをインストールできます

2つの DMZに Citrix Gatewayアプライアンスをインストールした後次の設定を構成します

bull Citrix Gatewayプロキシで仮想サーバーを構成しますbull 最初の DMZと 2番の DMZで Citrix Gatewayアプライアンスが相互に通信するように構成しますbull 2つの DMZの Citrix Gatewayをグローバルにバインドするか仮想サーバーにバインドしますbull 第 1 DMZのアプランスで STAを構成しますbull ファイアウォールで DMZを分離してポートを開きますbull アプライアンスに証明書をインストールします


Citrix Gatewayプロキシ上の仮想サーバーでの設定の構成

March 26 2020

Citrix Gatewayアプライアンス間で接続を許可するにはCitrix Gatewayプロキシ上の仮想サーバーでダブルホップを有効にします

ユーザーが接続するとCitrix Gatewayアプライアンスはユーザーを認証しプロキシアプライアンスへの接続をプロキシします最初の DMZの Citrix Gatewayで2番の DMZの Citrix Gatewayと通信するように仮想サーバーを構成しますCitrix Gatewayプロキシでは認証やポリシーを構成しないでください仮想サーバーでの認証を無効にすることをお勧めします

GUIを使して Citrix Gatewayプロキシ上の仮想サーバーでダブルホップを有効にするには




4 [ダブルホップ]を選択します


GUIを使して Citrix Gatewayプロキシ上の仮想サーバーの認証を無効にするには



Citrix Gateway 130



4 [認証を有効にする]チェックボックスをオフにします




March 26 2020

ダブルホップ DMZで Citrix Gatewayを展開する場合最初の DMZで Citrix Gatewayを構成して2番のDMZの Citrix Gatewayプロキシと通信する必要があります

2台の DMZに複数のアプライアンスを展開する場合は1台の DMZ内の各アプライアンスを構成して2台の DMZ内のすべてのプロキシアプライアンスと通信します

注IPv6を使する場合は構成ユーティリティを使してネクストホップサーバーを構成しますこれをうには［Citrix Gateway］gt［リソース］を展開し［ネクストホップサーバー］をクリックします次の順に従い[

IPv6]チェックボックスをオンにします

Citrix Gatewayプロキシと通信するように Citrix Gatewayを構成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]に最初の Citrix Gatewayの名前をします4［IPアドレス］に2番の DMZの Citrix Gatewayプロキシの仮想サーバーの IPアドレスをします5 [ポート]にポート番号をし[作成][閉じる]の順にクリックします443などのセキュアポートを使している場合は[Secure]を選択します

最初のDMZにインストールされた各 Citrix Gatewayは2番のDMZにインストールされているすべての CitrixGatewayプロキシアプライアンスと通信するように構成する必要があります

Citrix Gatewayプロキシの設定を構成したらポリシーを Citrix Gatewayグローバルまたは仮想サーバーにバインドします


Citrix Gateway 130

Citrix Gatewayネクストホップサーバーをグローバルにバインドするには


2 詳細ペインでネクストホップサーバーを選択し[操作]で [グローバルバインディング]を選択します3 [ネクストホップサーバのグローバルバインドの構成]ダイアログボックスの [ネクストホップサーバ名]でプロキシアプライアンスを選択し[OK]をクリックします

Citrix Gatewayのネクストホップサーバーを仮想サーバーにバインドするには

1 構成ユーティリティの [構成]タブで[Citrix Gateway]を展開し[仮想サーバー]をクリックします2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [公開アプリケーション]タブの [ネクストホップサーバー]で項をクリックし[OK]をクリックします

[公開アプリケーション]タブからネクストホップサーバーを追加することもできます


STAトラフィックと ICAトラフィックを処理するように Citrix Gatewayを構成する

March 26 2020

ダブルホップ DMZ で Citrix Gateway を展開する場合最初の DMZ で Citrix Gateway を構成してSecureTicket Authority（STA）および ICAトラフィックとの通信を適切に処理する必要がありますSTAを実しているサーバはグローバルにバインドすることも仮想サーバにバインドすることもできます

STAを構成したらSTAをグローバルにバインドすることも仮想サーバにバインドすることもできます

STAをグローバルに構成およびバインドするには次の順を実します

1 構成ユーティリティの [構成]タブで[Citrix Gateway]を展開し[グローバル設定]をクリックします2 詳細ペインの [サーバー]で[Secure Ticket Authorityが使する STAサーバーのバインドバインド解除]をクリックします

3 [STAサーバのバインドバインド解除]ダイアログボックスで[追加]をクリックします4 [STA サーバーの構成] ダイアログボックスの [URL] にSTA を実するサーバーのパス (http

mycompanycomまたはhttpipAddressなど)をし[作成]をクリックします

STAを構成して仮想サーバにバインドするには次の順でいます

1 構成ユーティリティの [構成]タブで[Citrix Gateway]を展開し[仮想サーバー]をクリックします2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [公開アプリケーション]タブの [Secure Ticket Authority]で[追加]をクリックします


Citrix Gateway 130

4 [STA サーバーの構成] ダイアログボックスの [URL] にSTA を実するサーバーのパス (httpmycompanycomまたはhttpipAddressなど)をし[作成]をクリックします



March 26 2020

ダブルホップ DMZ展開に関連するさまざまなコンポーネント間で発するさまざまな接続をサポートするためにファイアウォールで適切なポートが開いていることを確認する必要があります接続処理の詳細については「ダブルホップ DMZ配置における通信フロー」を参照してください

次の図はダブルホップ DMZ配置で使できる般的なポートをしています

次の表に最初のファイアウォールを介して発する接続と接続をサポートするために開く必要があるポートをします

最初のファイアウォールを介した接続使するポート

インターネットからのWebブラウザは最初の DMZで Citrix Gatewayに接続します注 CitrixGatewayにはポート 80でわれた接続をセキュアなポートにリダイレクトするオプションがありますCitrix Gatewayでこのオプションを有効にすると最初のファイアウォールからポート 80を開くことができますユーザーがポート 80で Citrix Gatewayに暗号化されていない接続をうとCitrix Gatewayは動的に安全なポートにリダイレクトされます






Citrix Gateway 130



セキュリティで保護されていない接続の場合は TCPポート 802番のファイアウォールを経由してセキュリティで保護された接続の場合は TCPポート 443のいずれかを開きます


TCPポート 443を開いて2番のファイアウォールを介したセキュアな SOCKS接続を確します







StoreFrontまたは 2番の DMZのWeb Interfaceは内部ネットワークのサーバーでホストされているSecure Ticket Authority（STA）に接続します


2つの DMZの Citrix Gatewayは安全なネットワーク内に存在する STAに接続します


2番の DMZの Citrix Gatewayは内部ネットワーク上のサーバー上の公開アプリケーションまたは仮想デスクトップに ICA接続をいます

TCPポート 1494を開き3番のファイアウォールを介した ICA接続をサポートしますCitrix VirtualAppsセッション画の保持を有効にした場合は1494ではなく TCPポート 2598を開きます





Citrix Gateway 130

ダブルホップ DMZ配置での SSL証明書の管理

March 26 2020

ダブルホップ DMZ展開ではコンポーネント間の接続を暗号化するために必要な SSL証明書をインストールする必要があります

ダブルホップ DMZ配置では配置に関係するさまざまなコンポーネント間でいくつかの異なるタイプの接続が発しますこれらの接続にはエンドツーエンドの SSL暗号化はありませんただし各接続は個別に暗号化できます

接続を暗号化するには接続に関係するコンポーネントに適切な SSL証明書 (信頼されたルートまたはサーバー証明書)をインストールする必要があります

次の表に最初のファイアウォールを介して発する接続とこれらの各接続の暗号化に必要な SSL証明書をしますインターネット経由で送信されるトラフィックを保護するには最初のファイアウォールを介した接続を暗号化する必要があります

最初のファイアウォールを介した接続暗号化に必要な証明書

インターネットからのWebブラウザは最初の DMZで Citrix Gatewayに接続します

最初の DMZの Citrix GatewayにはSSLサーバー証明書がインストールされている必要がありますWebブラウザーにはCitrix Gatewayのサーバー証明書と同じ認証局（CA）によって署名されたルート証明書がインストールされている必要があります


この接続の証明書管理はWebブラウザーから CitrixGatewayへの接続と同じですWebブラウザ接続を暗号化するために証明書をインストールした場合この接続もこれらの証明書を使して暗号化されます




StoreFrontまたはWeb Interfaceに SSLサーバー証明書がインストールされている必要があります最初の DMZの Citrix GatewayにはWeb Interface上のサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります


Citrix Gateway 130



2つの DMZの Citrix GatewayにはSSLサーバー証明書がインストールされている必要があります最初の DMZの Citrix Gatewayには2番の DMZの Citrix Gateway上のサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります




Citrix Virtual Appsサーバー上のMicrosoftインターネットインフォメーションサービス（IIS）サーバー上で XMLサービスを実する場合はIISサーバーにSSLサーバー証明書をインストールする必要がありますXMLサービスが標準のWindowsサービス (IISに存在しない)である場合はSSLサーバー証明書をサーバーの SSLリレー内にインストールする必要がありますStoreFrontまたはWeb InterfaceにはMicrosoft IISサーバーまたは SSLリレーにインストールされたサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります

StoreFrontまたは 2番の DMZのWeb Interfaceは内部ネットワークのサーバーでホストされているSTAに接続します

この接続の証明書管理はWeb Interfaceから XMLサービスへの接続と同じです同じ証明書を使してこの接続を暗号化できます(サーバー証明書はMicrosoft IISサーバーまたは SSLリレーのいずれかに存在する必要があります対応するルート証明書はWeb Interfaceにインストールする必要があります）


Citrix Gateway 130


2番の DMZの Citrix Gatewayは内部ネットワークのサーバーでホストされている STAに接続します

この接続での STAの SSLサーバー証明書の管理はこの表で説明した 2つの接続で説明したものと同じです(サーバー証明書はMicrosoft IISサーバーまたは SSLリレーのいずれかに存在する必要があります)2番の DMZの Citrix GatewayにはSTAおよびXMLサービスで使されるサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります

2番の DMZの Citrix Gatewayは内部ネットワーク上のサーバー上の公開アプリケーションへの ICA接続をいます

SSLサーバー証明書は公開アプリケーションをホストするサーバー上の SSLリレー内にインストールする必要があります2番の DMZの Citrix GatewayプロキシにはSSLリレー内にインストールされたサーバー証明書と同じ CAによって署名されたルート証明書がインストールされている必要があります


可性の使

March 26 2020

2つの Citrix Gatewayアプライアンスの可性を展開するとどのトランザクションでも中断のない操作を実現できますのアプライアンスをプライマリノードとして設定しもうのアプライアンスをセカンダリノードとして設定するとプライマリノードは接続を受けれサーバを管理しセカンダリノードはプライマリノードを監視します何らかの理由でプライマリノードが接続を受け付けることができなくなるとセカンダリノードが処理を引き継ぎます

セカンダリノードは定期的なメッセージ（ハートビートメッセージまたはヘルスチェックとも呼ばれる）を送信してプライマリを監視しプライマリノードが接続を受け付けているかどうかを判断しますヘルスチェックが失敗した場合セカンダリノードは指定された期間接続を再試しますその後プライマリノードが正常に機能していないと判断されます次にセカンダリノードがプライマリノードを引き継ぎます（フェイルオーバーと呼ばれるプロセス）

フェイルオーバー後すべてのクライアントが管理対象サーバーへの接続を再確する必要がありますがセッション永続性ルールはフェイルオーバー前と同じように維持されます


Citrix Gateway 130

Webサーバーのロギングの永続性を有効にするとフェールオーバーによってログデータが失われることはありませんロギングの永続性を有効にするにはログサーバー設定が logconfファイルに両のシステムのエントリを保持する必要があります

次の図は可性ペアを使したネットワーク構成をしています

図 1可性構成での Citrix Gatewayアプライアンス

可性を設定する基本的な順は次のとおりです

1 両のノードが同じサブネットにある基本設定を作成します2 ノードがヘルスチェック情報を通信する間隔をカスタマイズします3 ノードが同期を維持するプロセスをカスタマイズします4 プライマリからセカンダリへのコマンドの伝播をカスタマイズします5 オプションでフェイルセーフモードを設定してどちらのノードもプライマリでない状況を回避します6 Citrix Gatewayの無償 ARPメッセージを受け付けないデバイスが環境に含まれている場合は仮想MACアドレスを構成します

より複雑な構成の準備ができたら異なるサブネットで可性ノードを構成できます

可性セットアップの信頼性を向上させるためにルートモニタを設定し冗リンクを作成できますトラブルシューティングやメンテナンスタスクの実など状況によってはノードを強制的にフェイルオーバーする（プライマリステータスを他のノードに割り当てる）場合やセカンダリノードを強制的にセカンダリにしたりプライマリノードをプライマリにしたりしたい場合があります


可性の仕組み

April 9 2020

可性ペアで Citrix Gatewayを構成するとセカンダリ Citrix Gatewayは定期的なメッセージ（ハートビートメッセージまたはヘルスチェックとも呼ばれる）を送信して最初のアプライアンスを監視し最初のアプライアンスが接続を受け付けているかどうかを判断しますヘルスチェックが失敗した場合セカンダリ Citrix Gatewayはプライマリアプライアンスが動作していないと判断するまで指定した時間だけ接続を再試しますセカンダリアプライアンスがヘルスチェックの失敗を確認するとセカンダリ Citrix Gatewayがプライマリ Citrix Gatewayを引き継ぎますこれをフェールオーバーと呼びます

Citrix Gatewayアプライアンス間で可性に関連する情報を交換するには以下のポートを使します

bull UDPポート 3003はhelloパケットを交換してインターバルのステータスを通信するために使されますbull TCPポート 3010は可性設定の同期化に使されますbull 構成設定の同期にはTCPポート 3011が使されます


Citrix Gateway 130

可性の設定に関するガイドライン

可性ペアを設定する前に次の注意事項を確認してください

bull 各 Citrix Gatewayアプライアンスは同じバージョンの Citrix Gatewayソフトウェアを実している必要がありますバージョン番号は構成ユーティリティのページ上部にあります

bull Citrix Gatewayでは2つのアプライアンス間でパスワードが動的に同期されることはありませんペア内の他のアプライアンスのユーザー名とパスワードを使して各 Citrix Gatewayを構成できます

bull プライマリとセカンダリの両の Citrix Gatewayで構成ファイル nsconfのエントリが致している必要がありますただし次の例外があります

ndash プライマリおよびセカンダリ Citrix Gatewayアプライアンスはそれぞれ固有のシステム IPアドレスを使して構成する必要がありますセットアップウィザードを使していずれかの Citrix Gatewayでシステム IPアドレスを構成または変更します

ndash 可性ペアではCitrix Gateway IDと関連する IPアドレスが他の Citrix Gatewayを指している必要がありますたとえばAG1と AG2という 2つのアプライアンスがある場合AG1を意の Citrix Gateway IDとIPアドレスの AG2を使して AG1を構成する必要がありますAG2は意の Citrix Gateway IDと AG1の IPアドレスで構成する必要があります注各 Citrix Gatewayアプライアンスは常にノード 0として識別されます各アプライアンスに意のノード IDを設定します

bull 可性ペアの各アプライアンスには同じライセンスが必要ですライセンスについて詳しくは「ライセンス」を参照してください

bull 構成ユーティリティまたはコマンドラインインターフェイスを直接使しない法 (たとえばSSL証明書のインポートスタートアップスクリプトへの変更)を使していずれかのノードで構成ファイルを作成する場合は構成ファイルを他のノードにコピーするか同のファイルを作成します

bull 可性ペアを設定する場合はプライマリアプライアンスとセカンダリアプライアンスのマッピングされたIPアドレスとデフォルト Gatewayアドレスが同であることを確認します必要に応じてセットアップウィザードを実してマッピングされた IPアドレスをいつでも変更できます

インストール前のチェックリストを使して可性展開で構成する必要がある特定の設定の覧を表できます詳細については「インストール前のチェックリスト」を参照してください


可性の設定

March 26 2020

可性構成をセットアップするには2つのノードを作成します各ノードでもうの Citrix Gateway IPアドレスがリモートノードとして定義されますまず可性を構成する 2つの Citrix ADCアプライアンスのいず


Citrix Gateway 130

れかにログオンしノードを追加します別のアプライアンスの Citrix Gateway IPアドレスを新しいノードのアドレスとして指定します次にもうのアプライアンスにログオンし最初のアプライアンスの Citrix GatewayIPアドレスを持つノードを追加しますアルゴリズムはどのノードがプライマリになりどのノードがセカンダリになるかを決定します

アプライアンスを構成する前に可性ノードを追加しますこのノードは可性ペアの 1つまたは 2つの Citrix Gatewayを表します可性を構成するにはまずノードを作成し次に可性設定を構成します

可性ノードを追加するには


2 詳細ウィンドウの [ノード]タブで[追加]をクリックします3［可性セットアップ］ダイアログボックスの［可性セットアップ］ダイアログボックスの［リモートノードの IPアドレス］テキストボックスにリモートノードとして追加する Citrix ADC NSIPアドレスをしますCitrix Gatewayの IPアドレスが IPv6アドレスの場合はアドレスをする前に IPv6チェックボックスをオンにします

4 ローカルノードをリモートノードに動的に追加する場合は[リモートシステムを構成して可性セットアップに参加する]を選択しますこのオプションを選択しない場合はリモートノードで表されるアプライアンスにログインし現在構成しているノードを追加する必要があります


6 リモートアプライアンスのユーザー名とパスワードが異なる場合は[リモートシステムログオンクレデンシャル]で[リモートシステムのログインクレデンシャルがセルフノードとは異なる]をクリックします

7 [ユーザー名]にリモートアプライアンスのユーザー名をします8 [パスワード]にリモートアプライアンスのパスワードをします9［OK］をクリックします

セカンダリノードを有効または無効にするには

セカンダリノードのみを有効または無効にできますセカンダリノードを無効にするとプライマリノードへのハートビートメッセージの送信が停されるためプライマリノードはセカンダリノードのステータスを確認できなくなりますノードを有効にするとノードは可性構成に参加します


2 詳細ペインの [ノード]タブでローカルノードを選択し[開く]をクリックします3 [HAノードの構成]ダイアログボックスの [可性ステータス]で[ENABLED (HAに参加しない)]を選択します

4［OK］をクリックしますステータスバーにノードが正常に構成されたことをすメッセージが表されます


Citrix Gateway 130

可性の設定を構成するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [HAノードの構成]ダイアログボックスの [ID]にノード識別の番号をしますIDは他のアプライアンスの意のノード番号を指定します

4 [IPアドレス]にシステムの IPアドレスをし[OK]をクリックしますIPアドレスは他のアプライアンスの IPアドレスを指定します

注可性ペアのノードの最 IDは 64です


RPCノードのパスワードの変更

March 26 2020

他の Citrix Gatewayアプライアンスと通信するには各アプライアンスに Citrix Gatewayでの認証法など他のアプライアンスに関する知識が必要ですRPCノードは構成およびセッション情報のシステム間通信に使される内部システムエンティティです各 Citrix Gatewayに 1つの RPCノードが存在し他の Citrix Gatewayアプライアンスの IPアドレスや認証に使されるパスワードなどの情報が格納されます別の Citrix Gatewayと通信する Citrix GatewayはRPCノード内のパスワードをチェックします

Citrix Gatewayでは可性ペアの両のアプライアンスで RPCノードパスワードが必要です最初に各Citrix Gatewayは同じ RPCノードパスワードを使して構成されますセキュリティを強化するには既定の RPCノードパスワードを変更する必要があります構成ユーティリティを使してRPCノードを構成および変更できます

RPCノードはノードの追加またはグローバルサーバー負荷分散 (GSLB)サイトの追加時に暗黙的に作成されますRPCノードを動で作成または削除することはできません

重要アプライアンス間のネットワーク接続もセキュリティで保護する必要がありますRPCノードのパスワードを設定するときに[セキュリティで保護する]チェックボックスをオンにするとセキュリティを構成できます

RPCノードのパスワードを変更しセキュリティで保護された接続を有効にするには

1 [システム] gt [ネットワーク] gt [RPC]に移動します

2 詳細ペインでノードを選択し[編集]をクリックします

3 [パスワード]と [パスワードの確認]に新しいパスワードをします


Citrix Gateway 130

4［送信元 IPアドレス］に他の Citrix Gatewayアプライアンスのシステム IPアドレスをします

5 [セキュリティで保護する]をクリックし[ OK ]をクリックします

注「セキュア」オプションを有効にするとアプライアンスはノードから他の RPCノードに送信されたすべての通信を暗号化しRPC通信を保護します

CLIを使して RPCノードのパスワードを変更するには


1 set ns rpcNode ltIPAddressgt 2 -password 3 [-secure ( YES | NO )]45 show ns rpcNode

例

1 gt set ns rpcNode 192024 -password mypassword -secure YES2 Done3 gt show rpcNode4 5 6 7 IPAddress 192024 Password d336004164d4352ce39e8 SrcIP Secure ON9 Done

10 gt


プライマリアプライアンスとセカンダリアプライアンスの可性の構成

March 26 2020

RPCノードのパスワードを変更しセキュアな通信を有効にしたら構成ユーティリティを使してプライマリおよびセカンダリ Citrix Gatewayの可性ノードを構成します


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします


Citrix Gateway 130




March 26 2020

Citrix Gatewayを可性ペアとして構成する場合セカンダリ Citrix Gatewayがミリ秒（ミリ秒）単位でリッスンするように構成できますこれらの間隔はhello間隔およびデッドインターバルと呼ばれます

hello間隔はハートビートメッセージがピアノードに送信される間隔ですデッドインターバルはハートビートパケットが受信されなかった場合にピアノードが DOWNとマークされるまでの時間間隔ですハートビートメッセージは可性ペアの他のノードのポート 3003に送信される UDPパケットです

helloインターバルを設定する場合は200〜 1000の値を使できますデフォルト値は 200ですデッドインターバル値は 3〜 60ですデフォルト値は 3です

注

デッドインターバルはhelloインターバルの倍数として設定する必要があります

セカンダリ Citrix Gatewayの通信間隔を構成するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [間隔]で次のいずれかまたは両を実します

bull [ハロー間隔 (ミリ秒)]に値をし[OK]をクリックしますデフォルトは 200ミリ秒ですbull [デッド間隔 (秒)]に値をし[OK]をクリックしますデフォルト設定は 3秒です


Citrix Gatewayアプライアンスの同期

March 26 2020


Citrix Gateway 130

可性ペアでの Citrix Gatewayアプライアンスの動同期はデフォルトで有効になっています動同期を使すると1つのアプライアンスを変更してその変更を 2番のアプライアンスに動的に反映させることができます同期ではポート 3010が使されます

同期は次の場合に開始されます

bull セカンダリノードが再起動しますbull プライマリノードはフェールオーバー後にセカンダリになります

同期を無効にするとプライマリアプライアンスで変更が発したときにセカンダリ Citrix Gateway atewayがプライマリ Citrix Gatewayと構成を同期できなくなります同期を強制することもできます

ペアのセカンダリノードで可性同期を有効または無効にします

可性同期を有効または無効にするには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [ノードの構成]ダイアログボックスの [HA同期]で次のいずれかの操作をいます

bull 同期を無効にするには[セカンダリノードがプライマリから構成をフェッチする]チェックボックスをオフにします

bull 同期を有効にするには[セカンダリノードがプライマリから構成をフェッチする]チェックボックスをオンにします

4［OK］をクリックしますノード構成が成功したことをすメッセージがステータスバーに表されます

アプライアンス間で強制的に同期するには

Citrix Gatewayでは動同期に加えて可性ペアの 2つのノード間の強制同期もサポートされています

プライマリおよびセカンダリ Citrix Gatewayアプライアンスの両で同期を強制できますただし同期がすでに進中の場合コマンドは失敗しCitrix Gatewayに警告が表されます強制同期は次の状況でも失敗します

bull スタンドアロンシステム上で同期を強制しますbull セカンダリノードは無効ですbull セカンダリノードで可性の同期を無効にします


2 [ノード]タブで[同期の強制]をクリックします



Citrix Gateway 130

可性セットアップでの構成ファイルの同期

March 26 2020

可性セットアップではプライマリノードからセカンダリノードにさまざまな構成ファイルを同期できます

可性セットアップでファイルを同期するためのパラメータ

bull モード

実する同期のタイプ次の説明にはオプションを指定するコマンドライン引数がカッコ内に含まれます-ライセンスと rcconf (all)を除くすべてシステム構成Citrix GatewayブックマークSSL証明書SSL CRLリストHTMLインジェクションスクリプトアプリケーションファイアウォールの XMLオブジェクトに関連するファイルを同期します-ブックマーク (ブックマーク)すべての Citrix Gatewayのブックマークを同期します- SSL証明書とキー (ssl)SSL機能のすべての証明書キーおよび CRLを同期します-ライセンスと rcconf (その他)すべてのライセンスファイルと rcconfファイルを同期します-ライセンスと rcconf (その他のオプション)を含むすべてのものシステム構成Citrix GatewayブックマークSSL証明書SSL CRLリストHTMLインジェクションスクリプトアプリケーションファイアウォール XMLオブジェクトライセンスおよび rcconfファイルに関連するファイルを同期します

注アプライアンスに Citrix ADCライセンスをインストールする場合はさらに多くのオプションを使できます

構成ユーティリティを使して可性セットアップのファイルを同期するには

1 ナビゲーションウィンドウで[システム]を展開し[診断]をクリックします2 詳細ペインの [ユーティリティ]で[HAファイルの同期の開始]をクリックします3 [ファイル同期の開始]ダイアログボックスの [モード]ドロップダウンリストで適切な同期の種類 ([ライセンス以外のすべて]や [rcconf]など)を選択し[OK]をクリックします



March 26 2020

可性セットアップではプライマリノードで発されたコマンドはプライマリノードでコマンドが実される前にセカンダリノードに対して動的に伝達され実されますコマンドの伝播が失敗した場合またはセカン


Citrix Gateway 130

ダリノードでコマンドの実が失敗した場合プライマリノードはコマンドを実しエラーをログに記録しますコマンド伝播ではポート 3011が使されます

可性ペア構成ではプライマリノードとセカンダリノードの両でコマンドの伝播がデフォルトで有効になっています可性ペアのいずれかのノードでコマンド伝播を有効または無効にできます1次ノードでコマンド伝達を無効にするとコマンドは次ノードに伝達されませんセカンダリノードでコマンドの伝播を無効にするとプライマリノードから伝播されたコマンドはセカンダリノードで実されません

注意伝播を再度有効化した後は必ず同期化を強制してください

注意伝播を無効にしている間に同期が発した場合伝播を無効にする前にった構成関連の変更はセカンダリノードと同期されますこれは同期の進中に伝播が無効になっている場合にも当てはまります

プライマリノードで伝播を有効または無効にするには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [HA伝播]で次のいずれかを実します

bull 可性の伝播を無効にするには[プライマリノードが構成をセカンダリに伝達する]チェックボックスをオフにします

bull 可性の伝播を有効にするには[プライマリノードが構成をセカンダリに伝達する]チェックボックスをオンにします




March 26 2020

次にコマンドの伝播が失敗する理由と設定を復元するための解決策を説明します

bull ネットワーク接続がアクティブではありませんコマンドの伝播が失敗した場合はプライマリとセカンダリCitrix Gatewayアプライアンスの間のネットワーク接続を確認します

bull セカンダリ Citrix Gatewayにリソースがありませんプライマリ Citrix Gatewayでコマンドの実が成功してもセカンダリ Citrix Gatewayに伝播できない場合はセカンダリ Citrix Gatewayでコマンドを直接実してエラーメッセージを確認しますコマンドに必要なリソースがプライマリ Citrix Gatewayに存在しセカンダリ Citrix Gatewayでは使できないためにエラーが発した可能性がありますまた各アプライアンスのライセンスファイルが致することを確認します


Citrix Gateway 130

たとえばすべての SSL（セキュアソケットレイヤー）証明書が各 Citrix Gatewayに存在することを確認します初期化スクリプトのカスタマイズが両の Citrix Gatewayアプライアンスに存在することを確認します

bull 認証エラー認証失敗のエラーメッセージが表された場合は各アプライアンスの RPCノード設定を確認します



March 26 2020

可性構成ではフェイルセーフモードでは両のノードがヘルスチェックに不合格になったときに 1つのノードが常にプライマリになりますフェイルセーフモードではノードが部分的にしか使できない場合にバックアップメソッドをアクティブ化してトラフィックを処理できます

可性フェイルセーフモードはノードごとに個別に構成します

次の表はフェイルセーフのケースの部をしていますNOT_UP状態はノードがヘルスチェックに失敗したがノードが部分的に利可能であることを意味しますUP状態はノードがヘルスチェックに合格したことを意味します

表 1 フェールセーフモードの場合
















Citrix Gateway 130





UP UP A（プライマリ）B（セカンダリ）


両のノードがヘルスチェックに合格した場合フェイルセーフを有効にした場合の動作は変更されません

UP NOT_UP A（プライマリ）B（セカンダリ）


セカンダリノードのみで障害が発した場合フェイルセーフを有効にした場合の動作は変更されません

NOT_UP UP A（セカンダリ）B（プライマリ）


プライマリだけが故障した場合フェイルセーフを有効にした場合の動作は変更されません

NOT_UP UP (STAYSEC-ONDARY)



セカンダリがSTAYSEC-ONDARYとして設定されている場合プライマリは障害が発してもプライマリのままです

フェールセーフモードを構成するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [ノードの構成]ダイアログボックスの [フェイルセーフモード]で[両のノードが正常でない場合でも 1つのプライマリノードを保持]を選択し[OK]をクリックします



Citrix Gateway 130

仮想MACアドレスの設定

March 26 2020

仮想MACアドレスは可性セットアップでプライマリおよびセカンダリ Citrix Gatewayアプライアンスによって共有されます

可性設定ではプライマリ Citrix Gatewayはマッピングされた IPアドレスや仮想 IPアドレスなどすべてのフローティング IPアドレスを所有しますこの IPアドレスに対するアドレス解決プロトコル (ARP)要求に対して独のMACアドレスで応答しますその結果外部デバイス（ルーターなど）の ARPテーブルがフローティング IPアドレスとプライマリ Citrix Gateway MACアドレスで更新されますフェイルオーバーが発するとセカンダリ Citrix Gatewayが新しいプライマリ Citrix Gatewayとして引き継がれます次に無償アドレス解決プロトコル（GARP）を使してプライマリアプライアンスから取得したフローティング IPアドレスをアドバタイズします新しいプライマリアプライアンスがアドバタイズするMACアドレスはのインターフェイスのMACアドレスです

部のデバイスはCitrix Gatewayによって成された GARPメッセージを受け付けませんその結果部の外部デバイスは古いプライマリ Citrix Gatewayによってアドバタイズされた古い IPMACマッピングを保持しますこの状況によりサイトが使できなくなる可能性がありますこの問題を解決するには可性ペアの両の Citrix Gatewayアプライアンスで仮想MACアドレスを構成しますこの構成は両の Citrix GatewayアプライアンスのMACアドレスが同じであることを意味しますその結果フェイルオーバーが発してもセカンダリ Citrix GatewayのMACアドレスは変更されず外部デバイス上の ARPテーブルを更新する必要はありません

仮想MACアドレスを作成するには仮想ルータ ID（ID）を作成しインターフェイスにバインドします可性設定ではユーザーは両のアプライアンスのインターフェイスに IDをバインドする必要があります

仮想ルータ IDがインターフェイスにバインドされるとシステムは仮想ルータ IDを最後のオクテットとする仮想MACアドレスを成します般的な仮想MACアドレスの例は00005 e 0001 ltVRIDgtですたとえば値60の仮想ルータ IDを作成してインターフェイスにバインドした場合結果の仮想 MACアドレスは 00005 e00013 cになりますここで3cは仮想ルータ IDの 16進表現です1〜 254の範囲の 255の仮想ルータ IDを作成できます

IPv4および IPv6の仮想MACアドレスを設定できます



March 26 2020


Citrix Gateway 130

IPv4仮想MACアドレスを作成してインターフェイスにバインドするとインターフェイスから送信されるすべてのIPv4パケットはインターフェイスにバインドされた仮想MACアドレスを使しますインターフェイスにバインドされた IPv4仮想MACアドレスがない場合はインターフェイスの物理MACアドレスが使されます

汎仮想MACアドレスの形式は 00005 e 0001 ltVRIDgtですたとえば値 60の VRIDを作成してインターフェイスにバインドするとその仮想MACアドレスは 00005 e 00013 cになります3cは VRIDの 16進表現です1〜 255の値で 255個の VRIDを作成できます


IPv4仮想MACアドレスの作成または変更

March 26 2020

IPv4仮想MACアドレスを作成するには仮想ルータ IDを割り当てますその後仮想MACアドレスをインターフェイスにバインドできます複数の仮想ルータ IDを同じインターフェイスにバインドすることはできません仮想MACアドレス設定を確認するには仮想MACアドレスと仮想MACアドレスにバインドされたインターフェイスを表して調べる必要があります

仮想MACアドレスを設定するためのパラメータ

bull VrID


1 ifnum


仮想MACアドレスを設定するには

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインの [VMAC]タブで[追加]をクリックします3 [VMACの作成]ダイアログボックスの [仮想ルーター ID]に値をします4 [関連付けられたインターフェイス]の [使可能なインターフェイス]でネットワークインターフェイスを選択し[追加][作成][閉じる]の順にクリックします

仮想MACアドレスを作成すると設定ユーティリティに表されますネットワークインターフェイスを選択した場合仮想ルーター IDはそのインターフェイスにバインドされます


Citrix Gateway 130

仮想MACアドレスを削除するには

仮想MACアドレスを削除するには対応する仮想ルータ IDを削除する必要があります

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインでアイテムを選択し[削除]をクリックします

仮想MACアドレスをバインドおよびバインド解除するには

仮想ルーター IDを作成したらCitrix Gatewayでネットワークインターフェイスを選択し仮想ルーター IDをネットワークインターフェイスにバインドしましたまたネットワークインターフェイスから仮想MACアドレスをバインド解除しCitrix Gatewayで設定したMACアドレスをそのままにすることもできます

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインでアイテムを選択し[開く]をクリックします3 [構成されたインターフェイス]でネットワークインターフェイスを選択し[削除][OK][閉じる]の順にクリックします



March 26 2020

Citrix GatewayはIPv6パケットの仮想MACアドレスをサポートしますIPv4仮想MACアドレスがインターフェイスにバインドされている場合でも任意のインターフェイスを IPv6の仮想MACアドレスにバインドできますインターフェイスから送信される IPv6パケットはそのインターフェイスにバインドされた仮想MACアドレスを使しますインターフェイスにバインドされた仮想MACアドレスがない場合IPv6パケットは物理MACを使します


IPv6の仮想MACアドレスの作成または変更

March 26 2020

IPv6仮想MACアドレスを作成するにはIPv6仮想ルータ IDを割り当てますその後仮想MACアドレスをインターフェイスにバインドできます複数の IPv6仮想ルータ IDを 1つのインターフェイスにバインドすることはでき


Citrix Gateway 130

ません仮想MACアドレス設定を確認するには仮想MACアドレスと仮想MACアドレスにバインドされたインターフェイスを表して調べる必要があります

IPv6の仮想MACアドレスを設定するためのパラメータ

bull 仮想ルータ ID


1 ifnum


IPv6の仮想MACアドレスを設定するには

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインの [VMAC6]タブで次のいずれかの操作をいます

bull 新しい仮想MACアドレスを作成するには[Add]をクリックしますbull 既存の仮想MACアドレスを変更するには[Open]をクリックします

3 [VMAC6の作成]または [VMAC6の構成]ダイアログボックスの [仮想ルーター ID]にvrID6などの値をします

4 [インターフェイスの関連付け]で[追加][作成][閉じる]の順にクリックしますステータスバーに仮想MACアドレスが設定されていることをすメッセージが表されます

IPv6の仮想MACアドレスを削除するには

1 構成ユーティリティの [構成]タブで[システム] gt [ネットワーク]を展開し[VMAC]をクリックします2 詳細ペインの [VMAC6]タブで削除する仮想ルータ IDを選択し[削除]をクリックしますステータスバーに仮想MACアドレスが削除されたことをすメッセージが表されます


異なるサブネットでの可性ペアの設定

March 26 2020


Citrix Gateway 130

般的な可性展開は可性ペアの両のアプライアンスが同じサブネット上に存在する場合です可性展開は各アプライアンスが異なるネットワークに配置されている 2つの Citrix Gatewayアプライアンスで構成することもできますこのトピックでは後者の設定について説明し設定例と1つのネットワーク内およびネットワーク間の可性設定の違いの覧をします

リンクの冗性とルートモニタを設定することもできますこれらの Citrix Gateway機能はネットワーク間の可性構成に役ちますまた各 Citrix Gatewayでパートナーアプライアンスがアクティブであることを確認するために使するヘルスチェックプロセスについても説明します

独したネットワーク構成の仕組み

Citrix Gatewayアプライアンスは2つの異なるネットワーク上の異なるルーター（R3と R4と呼ばれる）に接続されていますアプライアンスはこれらのルータを介してハートビートパケットを交換しますハートビートパケットは接続がまだアクティブであることを保証する定の間隔で発する信号ですこの設定を拡張して任意の数のインターフェイスが関与する配置に対応できます

注ネットワークでスタティックルーティングを使する場合はハートビートパケットが正常に送受信されるようにすべてのシステム間にスタティックルートを追加する必要があります（システムでダイナミックルーティングを使する場合スタティックルートは不要です）

可性ペアのアプライアンスが 2つの異なるネットワーク上に存在する場合セカンダリ Citrix Gatewayには独したネットワーク構成が必要ですつまり異なるネットワーク上の Citrix Gatewayアプライアンスはマッピングされた IPアドレス仮想 LANまたはネットワークルートを共有できません可性ペアの Citrix Gatewayアプライアンスの設定可能なパラメーターが異なるこのタイプの構成は独したネットワーク構成または対称ネットワーク構成と呼ばれます

次の表は独したネットワーク構成の構成可能なパラメーターの概要と各 Citrix Gatewayでの設定法をしています


IPアドレス Citrix Gateway固有ですそのアプライアンスでのみアクティブです

仮想 IPアドレスフローティング

仮想 LAN Citrix Gateway固有ですそのアプライアンスでのみアクティブです

ルート Citrix Gateway固有ですそのアプライアンスでのみアクティブですリンクロードバランシング（LLB）ルートがフローティング状態です

アクセスコントロールリスト（ACL）フローティング (共通)両のアプライアンスでアクティブです


Citrix Gateway 130


動的ルーティング Citrix Gateway固有ですそのアプライアンスでのみアクティブですセカンダリ Citrix Gatewayもルーティングプロトコルを実しアップストリームルーターとピアリングする必要があります



逆向ネットワークアドレス変換 (NAT) Citrix Gateway固有ですNAT IPアドレスがフローティング状態であるため仮想 IPアドレスを持つリバース NAT



March 26 2020

可性ペアの 2つのノードが異なるサブネット上に存在する場合各ノードは異なるネットワーク構成を持つ必要がありますしたがって2つの独したシステムが可性ペアとして機能するように設定するには設定プロセス中に独したネットワークコンピューティングモードを指定する必要があります

可性ノードを追加する場合は接続されていないインターフェイスまたはトラフィックに使されていないインターフェイスごとに可性モニタを無効にする必要があります

独したネットワークコンピューティングモードにリモートノードを追加するには


2 詳細ウィンドウで[ノード]タブをクリックし[追加]をクリックします

3［可性セットアップ］ダイアログボックスの［リモートノードの IPアドレス］テキストボックスにリモートノードであるアプライアンスの Citrix Gateway IPアドレスをします

IPv6アドレスを使するにはIPアドレスをする前に [IPv6]チェックボックスをオンにします


Citrix Gateway 130

4 ローカルノードをリモートノードに動的に追加する場合は[リモートシステムを構成して可性セットアップに参加する]を選択しますこのオプションを選択しない場合はリモートノードで表されるアプライアンスにログオンし現在構成しているノードを追加する必要があります


6 [セルフモードで INC (独ネットワーク構成)モードをオンにする]をクリックして有効にします

7［OK］をクリックします[Nodes]ページには可性構成のローカルノードとリモートノードが表されます

リモートノードを削除するには


2 詳細ペインで[ノード]タブをクリックします3 削除するノードを選択し[削除]をクリックし[はい]をクリックします



March 26 2020

ルートモニタを使するとテーブルにダイナミックに学習されたルートまたはスタティックルートが含まれているかどうかにかかわらず可性状態を内部ルーティングテーブルに依存させることができます可性構成では各ノードのルートモニタが内部ルーティングテーブルをチェックし特定のネットワークに到達するためのルートエントリが常に存在することを確認しますルートエントリが存在しない場合ルートモニタの状態は DOWNに変わります

Citrix Gatewayアプライアンスにネットワークに到達するための静的ルートのみがありネットワークのルートモニターを作成する場合は静的ルートに対して監視対象の静的ルートを有効にする必要がありますモニタ対象のスタティックルートは内部ルーティングテーブルから到達不能なスタティックルートを削除しますスタティックルートでモニタ対象のスタティックルートを無効にすると到達不能なスタティックルートが内部ルーティングテーブルに残りルートモニタの的がなくなります

ルートモニタは[独ネットワーク構成]の設定を有効または無効にしてサポートされます次の表は可性セットアップおよび独ネットワーク構成を有効または無効にした場合のルートモニタの状況をしています


Citrix Gateway 130

無効の独ネットワーク構成モードでの可性のルートモニタ

有効になっている独ネットワーク構成モードでの可性のルートモニタ

ルートモニタはノードによって伝播され同期中に交換されます

ルートモニタはノードによって伝播されず同期中に交換されることもありません

ルートモニタは現在のプライマリノードでのみアクティブです

ルートモニタはプライマリノードとセカンダリノードの両でアクティブです

Citrix Gatewayアプライアンスはルートエントリが内部ルーティングテーブルに存在するかどうかに関係なく常にルートモニターの状態を UPとして表します

Citrix Gatewayアプライアンスは対応するルートエントリが内部ルーティングテーブルに存在しない場合ルートモニターの状態を DOWNと表します

ルートモニターはCitrix Gatewayが動的ルートを学習できるようにするためにルートモニターがルートの監視を開始しますこのルートには最 180秒かかりますこれには再起動フェイルオーバーv6ルートに対する set route6コマンドv4ルートに対する set route msrの有効化無効化コマンドの設定新しいルートモニターの追加

該当なし

ルートモニタは独ネットワーク構成モードを無効にしプライマリノードからの Gatewayを可性フェールオーバーの条件の 1つとして到達不能にする場合に便利です

たとえば次の図にすようにCitrix Gatewayアプライアンス NS1と NS2が同じサブネットにありルーターR1とスイッチ SW1SW2SW3を持つ 2アームトポロジーの可性セットアップで独ネットワーク構成を無効にしますこのセットアップでは R1が唯のルータであるため現在のプライマリノードから R1に到達できない場合は常に可性セットアップをフェールオーバーする必要があります各ノードでルートモニタ（それぞれRM1と RM2など）を設定してそのノードからの R1の到達可能性を監視できます

NS1を現在のプライマリノードとして使するとネットワークフローは次のようになります

1 NS1上のルートモニタ RM1はルータ R1のルートエントリの存在についてNS1の内部ルーティングテーブルを監視しますNS1および NS2はスイッチの SW1または SW3を介して定期的にハートビートメッセージを交換します

2 スイッチ SW1に障害が発するとNS1のルーティングプロトコルは R1に到達できないことを検出するため内部ルーティングテーブルから R1のルートエントリを削除しますNS1および NS2はスイッチのSW3を介して定期的にハートビートメッセージを交換します

3 R1のルートエントリが内部ルーティングテーブルに存在しないことを検出するとRM1はフェールオーバーを開始しますNS1と NS2の両から R1へのルートがダウンしている場合いずれかのアプライアンスがR1に到達して接続をリストアできるまで180秒ごとにフェイルオーバーがわれます



Citrix Gateway 130


March 26 2020

可性ペアのアプライアンスが異なるネットワーク上に存在する場合Citrix Gatewayの可性の状態はアプライアンスに到達できるかどうかによって異なりますクロスネットワーク可性構成では各 Citrix Gatewayのルートモニターが内部ルーティングテーブルをスキャンして他の Citrix Gatewayのエントリが常に存在することを確認します

ルートモニタを追加するには


2 [ルートモニタのバインドバインド解除]ダイアログボックスの [ルートモニタ]タブで[操作]をクリックし[構成]をクリックします

3 [ルートモニターの指定]の [ネットワーク]に他の Citrix Gatewayアプライアンスのネットワークの IPアドレスをします

IPv6アドレスを構成するには[IPv6]をクリックしIPアドレスをします

4 [ネットマスク]に他のネットワークのサブネットマスクをし[追加]をクリックし[OK]をクリックします

この順が完了するとルートモニターが Citrix Gatewayにバインドされます

注ルートモニターが Citrix Gatewayにバインドされていない場合いずれかのアプライアンスの可性状態はインターフェイスの状態によって決まります

ルートモニタを削除するには


2 [ルートモニター]タブで[操作]をクリックし[構成]をクリックします3 [構成されたルートモニタ]でモニタを選択し[削除]をクリックし[OK]をクリックします



Citrix Gateway 130

リンク冗性の設定

March 26 2020

リンク冗性はネットワークインターフェイスをグループ化して他の機能を持つ Citrix Gatewayの 1つのネットワークインターフェイスで障害が発した場合のフェイルオーバーを防しますプライマリ Citrix Gatewayの最初のインターフェイスで障害が発するとフェイルオーバーがトリガーされますが最初のインターフェイスでは 2番のリンクを使してユーザー要求を処理できますリンクの冗性を構成する場合2つのインターフェイスをフェイルオーバーインターフェイスセットにグループ化してプライマリ Citrix Gatewayのすべてのインターフェイスが機能しない限り単のリンクで障害が発してセカンダリ Citrix Gatewayへのフェイルオーバーを防ぐことができます

フェールオーバーインターフェイスセット内の各インターフェイスは独したブリッジエントリを維持しますCitrix Gatewayで有効になっていて障害が発したインターフェイスセットにバインドされていない監視インターフェイスはクリティカルインターフェイスと呼ばれますこれはこれらのインターフェイスのいずれかに障害が発するとフェイルオーバーがトリガーされるためです

リンクの冗性を設定するには


2 [フェールオーバーインターフェイスセット]タブで[追加]をクリックします3 [名前]にセットの名前をします4「インタフェース」で「追加」をクリックします5 [使可能なインターフェイス]でインターフェイスを選択し印をクリックしてインターフェイスを [構成済み]に移動します

6 2番のインターフェイスに対してステップ 4と 5を繰り返し[Create]をクリックします

インターフェイス間のフェールオーバーに必要な数だけインターフェイスを追加できます

フェールオーバーインターフェイスセットからインターフェイスを削除するには



フェールオーバーインターフェイスセットを削除するには

フェイルオーバーインターフェイスセットが不要になった場合はCitrix Gatewayから削除できます


Citrix Gateway 130





April 9 2020

次のイベントにより可性構成でフェールオーバーが発する可能性があります

1 セカンダリノードがセカンダリに設定されたデッドインターバルを超えた期間プライマリノードからハートビートパケットを受信しない場合デッド間隔の設定の詳細については通信間隔の設定を参照してくださいノードがピアノードからハートビートパケットを受信しない原因としては次のようなものがあります

bull ネットワーク構成の問題によりハートビートが可性ノード間のネットワークを通過できなくなります

bull ピアノードでハードウェアまたはソフトウェアの障害が発しそのためにハング（ハング）再起動または処理を停しハートビートパケットを転送します

2 プライマリノードで SSLカードのハードウェア障害が発します3 プライマリノードはそのネットワークインターフェイス上でハートビートパケットを 3秒間受信しません4 プライマリノードではフェールオーバーインターフェイスセット (FIS)またはリンク集約 (LA)チャネルの部ではなく可性モニター (HAMON)が有効になっているネットワークインターフェイスに障害が発しますインターフェイスは有効ですがDOWNステートになります

5 プライマリノードではFISのすべてのインターフェイスに障害が発しますインターフェイスは有効ですがDOWNステートになります

6 プライマリノードでHAMONが有効になっている LAチャネルが失敗しますインターフェイスは有効ですがDOWNステートになります

7 プライマリノードではすべてのインターフェイスに障害が発しますこの場合フェールオーバーはHAMON設定に関係なく実されます

8 プライマリノードではすべてのインターフェイスが動で無効になりますこの場合フェールオーバーはHAMON設定に関係なく実されます

9 フェイルオーバーを強制するにはいずれかのノードで force failoverコマンドを発します10 プライマリノードにバインドされているルートモニタは DOWNになります



Citrix Gateway 130

ノードからのフェイルオーバーの強制実

March 26 2020

たとえばプライマリノードを交換またはアップグレードする必要がある場合にフェールオーバーを強制することができますプライマリノードまたはセカンダリノードのいずれかからフェイルオーバーを強制できます強制フェールオーバーは継承されたり同期されたりしません強制フェールオーバー後の同期ステータスを表するにはノードのステータスを表します

次の状況では強制フェールオーバーを実できません

bull スタンドアロンシステムにフェールオーバーを強制するbull セカンダリノードは無効ですbull セカンダリノードはセカンダリノードを維持するように構成されています

強制フェイルオーバーコマンドの実時に潜在的な問題を検出するとCitrix Gatewayアプライアンスが警告メッセージを表しますメッセージには警告をトリガーした情報が含まれており続する前に確認を要求します


プライマリまたはセカンダリノードでのフェイルオーバーの強制実

March 26 2020

プライマリノードでフェイルオーバーを強制するとプライマリがセカンダリになりセカンダリがプライマリになります強制フェイルオーバーはプライマリノードがセカンダリノードが稼働していると判断できる場合にのみ可能です

セカンダリノードが DOWNの場合強制フェールオーバーコマンドは次のエラーメッセージを返します「無効なピアの状態のため操作できません修正して再試してください」

セカンダリシステムが要求状態またはアクティブの場合コマンドは次のエラーメッセージを返します「現在操作できませんシステムが安定するのを待ってから再試してください」

セカンダリノードから force failoverコマンドを実するとセカンダリノードはプライマリノードになりプライマリノードはセカンダリノードになります強制フェールオーバーはセカンダリノードの健全性が良好でノードがセカンダリノードを維持するように構成されていない場合にのみ発します

2次ノードが 1次ノードになることができない場合または 2次ノードが (STAYSECONDARYオプションを使して) 2次ノードに設定されている場合ノードは次のエラーメッセージを表します「状態が無効であるため操作できません詳細についてはノードを参照してください」


Citrix Gateway 130

プライマリノードまたはセカンダリノードでフェールオーバーを強制するには


2 詳細ウィンドウの [ノード]タブでプライマリノードを選択し[アクション]で [フェイルオーバーの強制]をクリックします

3 [警告]ダイアログボックスで[はい]をクリックします



March 26 2020

可性構成ではアプライアンスのフェイルオーバー後もプライマリ Citrix Gatewayを強制的にプライマリに維持できますこの設定はスタンドアロンの Citrix Gatewayアプライアンスと可性ペアのプライマリアプライアンスである Citrix Gatewayでのみ構成できます

プライマリノードを強制的にプライマリに維持するには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [可性ステータス]で[プライマリに保たれる]をクリックし[OK]をクリックします

この設定をクリアするには次のコマンドを使します

clear configuration full

次のコマンドではCitrix Gatewayの可性構成は変更されません

clear configuration basic

clear configuration extended



March 26 2020


Citrix Gateway 130

可性設定ではセカンダリ Citrix Gatewayをプライマリ Citrix Gatewayの状態とは無関係に強制的にセカンダリを維持できますセカンダリを維持するように Citrix Gatewayを構成するとプライマリ Citrix Gatewayで障害が発してもセカンダリ状態のままになります

たとえば既存の可性セットアップでプライマリ Citrix Gatewayをアップグレードする必要がありこのプロセスに指定した時間がかかるとしますアップグレード中プライマリ Citrix Gatewayは使できなくなりますがセカンダリ Citrix Gatewayを引き継ぐ必要はありませんプライマリ Citrix Gatewayで障害が検出された場合でもセカンダリ Citrix Gatewayのままにしておきます

可性ペアの Citrix Gatewayのステータスがセカンダリになるように構成されている場合可性状態マシンの移には参加しませんCitrix Gatewayのステータスは［ノード］タブの構成ユーティリティで確認できます

この設定はスタンドアロンおよびセカンダリ Citrix Gatewayの両で機能します

可性ノードを設定してもそのノードは伝播または同期されず設定が構成されている Citrix Gatewayにのみ影響します

セカンダリノードを強制的にセカンダリにするには


2 詳細ペインの [ノード]タブでノードを選択し[編集]をクリックします3 [可性の状態]で[セカンダリ (リッスンモードのまま)]をクリックし[OK]をクリックします

Citrix Gatewayをアクティブな可性アプライアンスとしてサービスに戻すには


2 詳細ペインの [ノード]タブでプライマリノードを維持するアプライアンスを選択し[開く]をクリックします



クラスタリングの使

March 26 2020

Citrix Gatewayをクラスター構成で展開してVPNクライアントトラフィックにい処理量可性およびスケーラビリティを提供できますクラスターではCitrix Gatewayアプライアンスまたは仮想マシンのグループは


Citrix Gateway 130

単のシステムイメージとして動作しユーザーセッションを調整しネットワークリソースへのトラフィックを管理しますCitrix Gatewayクラスタは最低 2つ最 32台の Citrix Gatewayアプライアンスまたは仮想マシンをクラスタノードとして構成して構築できます

Citrix Gatewayクラスターの構成を開始する前にCitrix ADCクラスタリングドキュメントをお読みくださいそのドキュメントの次のトピックに特に注意してください

bull 使予定のシステムが要件を満たしていることを確認するにはハードウェアおよびソフトウェアの要件を参照してください

bull クラスタリングの概念についてはクラスタリングのしくみを参照してください

bull 展開を計画し環境に関連する警告を特定するにはノード間通信の設定を参照してください

Citrix Gatewayクラスターはスポットされた VIP構成タイプの Citrix ADCクラスターとして動作します



April 9 2020

Citrix Gatewayクラスタリングを設定する主なタスクは次のとおりです

1 構成コーディネーターにする Citrix Gatewayアプライアンスまたは VMを決定しそのシステムにクラスターインスタンスを作成します（クラスターインスタンスが存在しない場合）

2 Citrix Gatewayシステムをノードとしてクラスターに参加させます3 STICKYオプションを設定してクラスタインスタンスにノードグループを作成します4 1つのクラスタノードをクラスタノードグループにバインドします5 構成コーディネーターで Citrix Gateway仮想サーバーを構成しクラスターノードグループにバインドします

Citrix ADCクラスターを構成するには複数の法があります次の連のタスクでは構成ユーティリティで使できる最も直接的な法を使します

構成ユーティリティを使して Citrix Gatewayクラスターインスタンスを作成するには

展開の詳細をすべて整理したら構成コーディネーターとなる Citrix Gatewayで構成を開始します

注意クラスターインスタンスを作成すると設定がクリアされます参照に既存のシステム構成を保存する必要がある場合はクラスタ構成を続する前にコピーをアーカイブしますクラスターで使する既存の設定はクラスターが確された後構成コーディネーターで再適できます


Citrix Gateway 130

1 NSIPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 詳細ウィンドウで[クラスターの管理]をクリックします4 [クラスタ構成]ダイアログボックスでクラスタの作成に必要なパラメータを設定します

a) クラスタインスタンス IDをしますこれはクラスターインスタンスの数値識別ですデフォルト値は 1ですが1〜 16の任意の数値に設定できます

b) クラスタ IPアドレスをしますこれはクラスターの構成コーディネーター IPアドレスですこれはクラスターの管理 IPアドレスです

c) 優先するバックプレーンインターフェイスを選択しますこれはクラスターノード間の通信に使する Citrix Gatewayインターフェイスです

5［作成］をクリックします6 システムの再起動を確認するプロンプトで[Yes]をクリックします7 ノードが UP状態になり同期が成功したらクラスタ IPアドレスからノードとクラスタ IPアドレスの両の RPC資格情報を変更しますRPCノードパスワードの変更の詳細についてはRPCノードのパスワードを変更するを参照してください

8 システムが再起動するまで待ちます使可能になったら順 4 (2)で構成したクラスタ IPアドレスで構成ユーティリティにログオンします

注 [System Information]詳細ペインでNSIPアドレスのローカルノードが構成コーディネータとして報告されますこれにより基本クラスタインスタンスが現在動作していることが確認されます

構成コーディネータのローカルノードが動的にクラスタに追加されます次のタスクではさらにノードを追加できます

Citrix Gatewayクラスターへのノードの追加

クラスターインスタンスが確されたら他の Citrix Gatewayノードをクラスターに追加できます

クラスターにさらに Citrix Gatewayシステムを追加するには構成ユーティリティーを使してクラスターノード作成およびクラスター結合の設定をリモートで発します

注クラスターへのノードの追加はCitrix Gatewayのセットアップを構成する前に完了する必要がありますこの法ではクラスター構成に何か問題がありクラスターを削除して再度開始する場合はCitrix Gateway構成を繰り返す必要はありません

1 クラスタ IPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 詳細ウィンドウで[クラスターの管理]をクリックします4 [クラスターノード]の詳細ウィンドウで[追加]をクリックします5 [クラスタノードの作成]ペインでこのノードの意のノード IDをします6 クラスタノードとして追加するシステムの Citrix ADC IPアドレスをします7 クラスターノードの資格情報ペインでリモート Citrix Gatewayシステムの Citrix Gatewayユーザー名とパスワードをします


Citrix Gateway 130

8 [構成コーディネーターの資格情報]ウィンドウでローカルで承認されたユーザーのパスワードをします9［作成］をクリックします

10 プロンプトが表されたら[はい]をクリックしてシステム構成を保存しリモート Citrix Gatewayのウォームリブートを実します

11 ノードが UP状態になり同期が成功したらクラスタ IPアドレスからノードとクラスタ IPアドレスの両の RPC資格情報を変更しますRPCノードパスワードの変更の詳細についてはRPCノードのパスワードを変更するを参照してください

クラスターノードとして構成する追加のリモート Citrix Gatewayシステムごとに順 4〜 11を繰り返します

クラスタノードが [クラスタノード]詳細ペインの [アクティブノードリスト]に含まれていることを確認します落しているノードがある場合は必要なノードがすべて覧表されるまで順 4〜 10を繰り返します

クラスタノードグループの作成

クラスタノードを追加したらクラスタノードグループを作成できます

1 クラスタ IPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 [ノードグループ]をクリックします4 詳細ウィンドウで[追加]をクリックします5 クラスタノードグループの名前をします6 [スティッキー]オプションを選択しますこれはCitrix Gateway仮想サーバーの種類をサポートするために必要です


これでクラスタノードグループが確されます構成ユーティリティーのこの領域を離れる前にローカルの CitrixGatewayノードを新しいクラスターノードグループにバインドできますこれはクラスタグループにバインドされている唯のノードです

ローカルクラスタノードをクラスタノードグループにバインドする

Citrix Gatewayクラスター構成はスポットの種類であるためノードグループにバインドできるノードは 1つだけです次の順では構成コーディネーター上のローカルノードをノードグループにバインドしますがこのバインドにはクラスター内の任意のノードを使できます

1 [詳細設定]ウィンドウで[クラスターノード]を展開します2 中央の [クラスタノード]ペインで[クラスタノードなし]を選択します3 クラスタノードの構成画で[バインド]をクリックします4 この Citrix Gatewayシステムの NSIPアドレスで表されるローカルノードを選択します5［Insert］をクリックします6［OK］をクリックします


Citrix Gateway 130


クラスターが作成され以下のタスクによって構成された Citrix Gateway仮想サーバーを共有する準備が整いました

クラスターノードグループへの Citrix Gateway仮想サーバーのバインド

クラスターを確したらクラスター展開の的とする Citrix Gateway構成を構築できます構成をクラスタに結び付けるにはCitrix Gateway仮想サーバーを作成しStickyタイプに設定されているクラスタノードグループにバインドする必要があります仮想サーバーをクラスターノードグループにバインドした後で引き続き CitrixGatewayを構成できます

複数の Citrix Gateway仮想サーバーを構成する場合はそれらをクラスターノードグループにもバインドする必要があります

注 Citrix Gateway仮想サーバーを構成していない場合はまず［システム］gt［設定］gt［基本機能の構成］でCitrix Gatewayと認証承認監査機能を有効にする必要があります

1 クラスタ IPアドレスで Citrix ADC構成ユーティリティにログオンします2 [システム]ノードを展開し[クラスタ]サブノードを展開します3 [ノードグループ]をクリックします4 [Node Group]ペインで的のノードグループ名を選択し[Edit]をクリックします5 右側の [詳細設定]ペインで[仮想サーバー]オプションを展開し[+]アイコンをクリックして仮想サーバーを追加します

6 VPN仮想サーバーの種類を選択し[続]をクリックします7［バインド］をクリックします8 必要な仮想サーバーが表されている場合はその仮想サーバーを選択して [挿]をクリックし[OK]をクリックします

9 新しい仮想サーバーを作成する必要がある場合は[追加]をクリックしますCitrix ADC仮想サーバーの構成に進みます最低限必要なのは仮想サーバをクラスタノードグループにバインドできるように作成することだけです

10 Citrix Gateway仮想サーバー］リストで仮想サーバーが使可能になったらその仮想サーバーを選択して［挿］をクリックします

11［OK］をクリックします12［完了］をクリックします

注複数の Citrix Gateway仮想サーバーを構成する場合これらも同じ法でクラスターノードグループにバインドする必要があります



Citrix Gateway 130


March 26 2020

Citrix Gatewayの構成が完了したらアプライアンスを保守および監視する必要がありますこれをうには次の法があります

bull Citrix Gatewayを最新バージョンにアップグレードできますCitrix WebサイトにログオンするとCitrixGateway のダウンロードサイトとソフトウェアのダウンロードに移動できますメンテナンスビルドのReadmeはCitrixナレッジセンターでつけることができます

bull Citrix Gatewayの構成タスクと管理タスクはグループの異なるメンバーに割り当てることができます委任管理ではユーザーにアクセスレベルを割り当ててCitrix Gatewayで特定のタスクを実するように制限できます

bull Citrix Gatewayの構成はアプライアンスまたはコンピューター上のファイルに保存できます現在の実構成と保存構成を較できますまたCitrix Gatewayから設定をクリアすることもできます

bull Citrix Gateway構成ユーティリティーではユーザーセッションの表更新およびエンドユーザーセッションを実できます

bull Citrix Gatewayでログオンを構成できますログはアプライアンスに関する重要な情報を提供し問題が発した場合に役ちます



March 26 2020

Citrix Gatewayにはデフォルトの管理者ユーザー名とパスワードが設定されていますデフォルトのユーザー名とパスワードは nsrootですセットアップウィザードを初めて実するときは管理者パスワードを変更できます

追加の管理者アカウントを作成し各アカウントに異なるレベルの Citrix Gatewayを割り当てることができますこれらの追加アカウントは委任された管理者と呼ばれますたとえばCitrix Gatewayの接続とログを監視するユーザーとCitrix Gatewayで特定の設定の構成を担当するユーザーがあるとします最初の管理者には読み取り専アクセスがあり2番の管理者にはアプライアンスへのアクセスが制限されています

委任された管理者を設定するにはコマンドポリシーとシステムユーザーとグループを使します

委任された管理者を構成する場合構成プロセスは次のようになります

bull システムユーザーを追加しますシステムユーザは指定された権限を持つ管理者ですすべての管理者は分が属するグループのポリシーを継承します


Citrix Gateway 130

bull システムグループを追加しますシステムグループには特定の権限を持つシステムユーザーが含まれますシステムグループのメンバーは所属する 1つまたは複数のグループのポリシーを継承します

bull コマンドポリシーを作成しますコマンドポリシーではユーザーまたはグループがアクセスおよび変更を許可する Citrix Gateway構成の部分を定義できますまたコマンドグループ仮想サーバ管理者やグループの設定を許可するその他の要素などのコマンドも規制できます

bull 優先度を設定してコマンドポリシーをユーザーまたはグループにバインドします委任管理を構成するときは管理者またはグループに優先順位を割り当ててCitrix Gatewayが優先するポリシーを決定できるようにします

Citrix Gatewayにはデフォルトのシステムコマンド拒否ポリシーがありますコマンドポリシーはグローバルにバインドできませんポリシーはシステム管理者（ユーザー）またはグループに直接バインドする必要がありますユーザーとグループにコマンドポリシーが関連付けられていない場合はデフォルトの拒否ポリシーが適されユーザーはコマンドを実したりCitrix Gatewayを構成したりできません

カスタムコマンドポリシーを構成してユーザー権利の割り当ての詳細レベルを定義できますたとえばセッションポリシーを Citrix Gatewayに追加することは許可されますが他の構成は許可されません



March 26 2020

Citrix Gatewayには委任管理に使できる 4つのコマンドポリシーが組み込まれています

bull 読み取り専システムコマンドグループおよび nsconf showコマンドを除くすべてのコマンドを表するための読み取り専アクセスを許可します

bull 演算読み取り専アクセスを許可しサービスのコマンドを有効または無効にするアクセスを許可しますまたこのポリシーではサービスおよびサーバーを「アクセス停」として設定します

bull ネットワークシステムコマンドとシェルコマンドを除いてほぼ完全なシステムアクセスを許可しますbull スーパーユーザーデフォルトの管理者である nsrootに付与される権限など完全なシステム権限を付与します

コマンドポリシーには組み込みの式が含まれています構成ユーティリティを使してシステムユーザシステムグループコマンドポリシーを作成し権限を定義します

Citrix Gatewayで管理ユーザーを作成するには

1 構成ユーティリティのナビゲーションペインの [構成]タブで[システム] gt [ユーザー管理]を展開し[システムユーザー]をクリックします


Citrix Gateway 130

2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4「パスワード」および「パスワードの確認」フィールドにパスワードをします5 グループにユーザーを追加するには[所属するメンバー]で [追加]をクリックします6「使可能」でグループを選択し右印をクリックします7 [コマンドポリシー]の [アクション]で[挿]をクリックします8 [コマンドポリシーの挿]ダイアログボックスでコマンドを選択し[OK][作成][閉じる]の順にクリックします

管理グループの作成

管理グループにはCitrix Gatewayの管理者権限を持つユーザーが含まれます管理グループは構成ユーティリティで作成できます

構成ユーティリティを使して管理グループを構成するには

1 構成ユーティリティのナビゲーションペインの [構成]タブで[システム] gt [ユーザー管理]を展開し[システムグループ]をクリックします

2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をします4 既存のユーザーをグループに追加するには[メンバー]で [追加]をクリックします5 [使可能]でユーザーを選択し右印をクリックします6 [コマンドポリシー]の [アクション]で [挿]をクリックしポリシーを選択して [ OK]をクリックし[作成]をクリックして[閉じる]をクリックします



March 26 2020

カスタムコマンドポリシーを設定する場合はポリシー名を指定しポリシーコンポーネントを設定してコマンド仕様を作成しますコマンド仕様では管理者が使できるコマンドを制限できますたとえば管理者が removeコマンドを使できないようにする場合ですポリシーを設定するときはアクションを denyに設定してからパラメータを設定します

単純なコマンドポリシーまたは度なコマンドポリシーを設定できます単純なポリシーを構成する場合はCitrixGatewayや認証などのコンポーネントを構成します度なポリシーを設定する場合はエンティティグループと呼ばれるコンポーネントを選択しそのグループ内で管理者が実できるコマンドを選択します


Citrix Gateway 130

単純なカスタムコマンドポリシーを作成するには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ユーザー管理]を展開し[コマンドポリシー]をクリックします





6 [コマンドの追加]ダイアログボックスの [簡易]タブの [操作]で委任された管理者が実できる操作を選択します

7「エンティティグループ」で1つ以上のグループを選択します

Ctrlキーを押すと複数のグループを選択できます


度なカスタムコマンドポリシーを作成するには

1 構成ユーティリティのナビゲーションペインの [構成]タブで[システム] gt [ユーザー管理]を展開し[コマンドポリシー]をクリックします





6 [コマンドの追加]ダイアログボックスで[詳細設定]タブをクリックします

7 [エンティティグループ]で認証や可性などコマンドが属するグループを選択します

8 [エンティティ]でポリシーを選択します


9「操作」でコマンドを選択し「作成」をクリックしてから「閉じる」をクリックします



11 [コマンドポリシーの作成]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします

[作成]をクリックすると[コマンドポリシーの作成]ダイアログボックスの [コマンドスペック]の下に式が表されます

カスタムコマンドポリシーを作成したらユーザーまたはグループにバインドできます


Citrix Gateway 130

注カスタムコマンドポリシーは作成したユーザーまたはグループにのみバインドできますカスタムコマンドポリシーをユーザー nsrootにバインドすることはできません

カスタムコマンドポリシーをユーザーまたはグループにバインドするには

1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ユーザー管理]を展開し[システムユーザー]をクリックするか[システムグループ]をクリックします

2 詳細情報のウィンドウ領域でリストからユーザーまたはグループを選択し[開く]をクリックします3 [コマンドポリシー]でポリシーを選択し[ OK]をクリックします


Citrix Gatewayでの監査の構成

March 26 2020

Citrix Gatewayではアプライアンスが収集する状態とステータス情報をログに記録できます監査ログを使してイベント履歴を時系列で表できますログ内のメッセージにはメッセージを成したイベントに関する情報タイムスタンプメッセージタイプ定義済みのログレベルとメッセージ情報が含まれますログに記録される情報とメッセージが格納される場所を決定する設定を構成できます

Citrix Gatewayは現在2つのログ形式をサポートしていますローカルログ専のログ形式とSyslogサーバーで使する Syslog形式です監査ログを構成して次の情報を提供できます

レベル説明

緊急重なエラーのみをログに記録しますログ内のエントリはCitrix Gatewayが使できない重な問題が発していることをしています

アラート Citrix Gatewayが正しく機能しない可能性があるが操作に重要ではない問題をログに記録しますCitrixGatewayが重な問題を起こさないようにするにはできるだけ早く修正措置を講じる必要があります

重 Citrix Gatewayの動作を制限しないがきな問題にエスカレーションする可能性がある重な状態をログに記録します

エラー Citrix Gatewayでの操作が失敗したために発したエントリをログに記録します


Citrix Gateway 130

レベル説明

警告エラーまたは重なエラーの原因となる可能性のある問題をログに記録します

通知情報レベルのログよりも詳細な問題をログに記録しますが通知と同じ的を果たします

情報 Citrix Gatewayで実されたアクションをログに記録しますこのレベルは問題のトラブルシューティングに役ちます

TCP圧縮を構成する場合Citrix Gatewayの監査ログには Citrix Gatewayの圧縮統計情報も保存されます異なるデータに対して達成された圧縮率はユーザーセッションごとにログファイルに保存されます

Citrix Gatewayではログ署名のセッション IDが使されますこれによりユーザーごとではなくセッションごとにログを追跡できますセッションの部として成されるログは同じ SessionIDを持ちますユーザーが同じ IPアドレスを使して同じユーザーデバイスから 2つのセッションを確する場合各セッションには意のSessionIDが割り当てられます

重要カスタムログ解析スクリプトを作成している場合はカスタム解析スクリプト内でこのシグニチャを変更する必要があります


Citrix Gatewayでのログの設定

March 26 2020

Citrix Gatewayでログオンを構成する場合監査ログを Citrix Gatewayに保存するかまたは Syslogサーバーに送信するかを選択できます監査ポリシーを作成し監査ログを保存する設定を構成するには構成ユーティリティを使します

監査ポリシーを作成するには

1 構成ユーティリティの [構成]タブで[ Citrix Gateway ][ポリシー][監査]の順に展開します2 [名前]にポリシーの名前をします3 次のいずれかを選択します

bull Syslogサーバにログを送信する場合はSyslogbull［Nslog］をクリックしてログを Citrix Gatewayに保存します


Citrix Gateway 130

注このオプションを選択するとログはアプライアンスの varlogフォルダに保存されます4 詳細ウィンドウで[追加]をクリックします5 ログが格納されているサーバー情報について次の情報をします

bull [名前]にサーバーの名前をしますbull [サーバー]にログサーバーの名前または IPアドレスをします


監査ポリシーを作成したらポリシーを次の組み合わせにバインドできます

bull グローバルbull 仮想サーバーbull グループbull ユーザー

監査ポリシーをグローバルにバインドするには

1 構成ユーティリティの [構成]タブで[ Citrix Gateway ][ポリシー][監査]の順に展開します2 [ Syslog ]または [ Nslog ]のいずれかを選択します3 詳細ウィンドウで[操作]をクリックし[グローバルバインド]をクリックします4 [監査ポリシーをグローバルにバインドバインド解除 ]ダイアログボックスの [詳細]で[ポリシーの挿]をクリックします

5 [ポリシー名]でポリシーを選択し[ OK]をクリックします

監査ポリシーを変更するには

既存の監査ポリシーを変更してログの送信先サーバーを変更できます

1 構成ユーティリティの「構成」タブで「Citrix Gateway」gt「ポリシー」gt「監査」の順に展開します2 [ Syslog ]または [ Nslog ]のいずれかを選択します3 詳細ペインでポリシーをクリックし[開く]をクリックします4 [サーバー]で新しいサーバーを選択し[ OK]をクリックします

監査ポリシーを削除するには

Citrix Gatewayから監査ポリシーを削除できます監査ポリシーを削除するとポリシーは動的にバインド解除されます

1 構成ユーティリティの [構成]タブで[ Citrix Gateway ][ポリシー][監査]の順に展開します2 [ Syslog ]または [ Nslog ]のいずれかを選択します3 詳細情報のウィンドウ領域でポリシーをクリックし[削除]をクリックします


Citrix Gateway 130


ACLロギングの設定

March 26 2020

拡張アクセス制御リスト（ACL）と致するパケットの詳細をログに記録するように Citrix Gatewayを構成できますACL名に加えてログに記録される詳細には送信元および宛先 IPアドレスなどのパケット固有の情報が含まれます情報は有効にするログのタイプ（Syslogまたは nslog）に応じてsyslogまたは nslogファイルに保存されます

ロギングはグローバルレベルと ACLレベルの両で有効にできますただしACLレベルでロギングを有効にするにはグローバルレベルでも有効にする必要がありますグローバル設定が優先されます

ロギングを最適化するために同じフローからの複数のパケットが ACLと致する場合最初のパケットの詳細だけがログに記録されますカウンタは同じフローに属する他のすべてのパケットに対して増分されますフローは次のパラメータに同じ値を持つパケットのセットとして定義されます

bull 接続元 IPbull 接続先 IPbull 送信元ポートbull 送信先ポートbull プロトコル（TCPまたは UDP）

パケットが同じフローからのものでない場合または期間が平均時間を超えている場合は新しいフローが作成されます平均時間は同じフローのパケットが追加のメッセージを成しない時間です（ただしカウンタが増加します）

注任意の時点でログに記録できる異なるフローの合計数は 10000に制限されています

次の表では拡張 ACLのルールレベルで ACLロギングを設定できるパラメータについて説明します

パラメーター名説明

[ログ状態] ACLのロギング機能の状態設定可能な値ENABLEDと DISABLEDデフォルトDISABLED

Ratelimit 特定の ACLが成できるログメッセージの数デフォルトは 100です


Citrix Gateway 130

構成ユーティリティを使して ACLロギングを構成するには

ACLのロギングを設定しルールが成できるログメッセージの数を指定できます

1 構成ユーティリティのナビゲーションペインで[システム] gt [ネットワーク]を展開し[ACL]をクリックします

2 詳細ウィンドウで[拡張 ACL ]タブをクリックし[追加]をクリックします3 [拡張 ACLの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [ログの状態]チェックボックスをオンにします5 [ログレート制限]テキストボックスにルールに指定するレート制限をし[作成]をクリックします

ACLロギングを構成したらCitrix Gatewayで有効にすることができます監査ポリシーを作成しユーザーグループ仮想サーバーまたはグローバルにバインドします

Citrix Gatewayで ACLまたは TCPログを有効にするには

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］gt［ポリシー］gt［監査］の順に展開します

2 syslogまたは nslogのいずれかを選択します3 [サーバー]タブで[追加]をクリックします4 [監査サーバーの作成]ダイアログボックスの [名前]にサーバーの名前をしサーバーの設定を構成します

5 [ ACLロギング]または [ TCPロギング]をクリックし[作成]をクリックします


Citrix Gatewayプラグインのログ記録の有効化

March 26 2020

ユーザーデバイスに保存されているテキストファイルにすべてのエラーをログに記録するようにCitrix Gatewayプラグインを構成できますユーザーはCitrix Gatewayプラグインを構成してユーザーデバイスでのログオンレベルを設定し特定のユーザーアクティビティを記録できますユーザーがロギングを構成するとプラグインによってユーザーデバイス上に次の 2つのファイルが作成されます

bull hooklog ltnumgt txtはCitrix Gatewayプラグインが成する傍受メッセージをログに記録します

bull nssslvpntxtプラグインのエラーが覧表されます


Citrix Gateway 130

注 hooklogtxtファイルは動的には削除されません定期的にファイルを削除することをお勧めします

ユーザーログはユーザーデバイス上のWindowsの次のディレクトリにあります

bull Windows XP (all users) SystemDriveDocuments and SettingsAll UsersApplicationDataCitrixAGEE

bull Windows XP (user-specific) SystemDriveDocuments and SettingsusernameLocalSettingsApplication DataCitrixAGEE

bull Windows Vista (all users) SystemDriveProgramDataCitrixAGEEbull Windows Vista (user-specific) SystemDriveUsersusernameAppDataLocalCitrixAGEEbull Windows 7 (all users) SystemDriveProgramDataCitrixAGEEbull Windows 7 (user-specific) SystemDriveUsersusernameAppDataLocalCitrixAGEEbull Windows 8 (all users) SystemDriveProgramDataCitrixAGEEbull Windows 8 (user-specific) SystemDriveUsersusernameAppDataLocalCitrixAGEE

これらのログファイルを使してCitrix Gatewayプラグインのトラブルシューティングをうことができますユーザーはログファイルをテクニカルサポートに電メールで送信できます

［構成］ダイアログボックスでCitrix Gatewayプラグインのログレベルを設定できますログレベルは次のとおりです

bull エラーメッセージを記録するbull イベントメッセージを記録するbull Citrix Gatewayプラグインの統計を記録するbull すべてのエラーイベントメッセージおよび統計を記録する

ログを有効にするには

1 ユーザーデバイスで通知領域にある Citrix Gatewayのアイコンを右クリックし［Citrix Gatewayの構成］をクリックします

2 [トレース]タブをクリックしログレベルを選択して [OK]をクリックします

注［構成］ダイアログボックスを開くにはCitrix Gatewayプラグインを使してログオンする必要があります



March 26 2020


Citrix Gateway 130

「ICA接続」ダイアログボックスを使してサーバーファーム上のアクティブなユーザーセッションを監視できますこのダイアログボックスには次の情報が表されます

bull サーバーファームに接続しているユーザーのユーザー名bull サーバーファームのドメイン名bull ユーザーデバイスの IPアドレスbull ユーザーデバイスのポート番号bull Citrix Virtual Apps and Desktopsを実しているサーバーの IPアドレスbull Citrix Virtual Apps and Desktopsを実しているサーバーのポート番号

1 構成ユーティリティのナビゲーションペインで［Citrix ADC Gateway］をクリックします2 詳細ペインの [モニタの接続]で[ICA接続]をクリックして[モニタリング]ダイアログボックスを表します


Citrix製品との統合

March 26 2020

Citrix Gatewayのインストールと構成を担当するシステム管理者はCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceで動作するようにアプライアンスを構成できます

ユーザーは内部ネットワークまたはリモートの場所から直接 Endpoint Managementに接続できますユーザーが接続するとWebSaaSおよびモバイルアプリにアクセスできますまたShareFileにあるドキュメントをどのデバイスからでも操作できます

Citrix Gatewayを介したサーバーファームへのユーザー接続を許可するにはStoreFrontまたはWeb Interfaceおよび Citrix Gatewayで設定を構成しますユーザーが接続すると公開アプリケーションおよび仮想デスクトップにアクセスできます

Citrix Gatewayを Endpoint ManagementStoreFrontおよびWeb Interfaceと統合するための構成順は次のことを前提としています

bull Citrix Gatewayは DMZ内に存在し既存のネットワークに接続されていますbull Citrix Gatewayはスタンドアロンアプライアンスとして展開されリモートユーザーは Citrix Gatewayに直接接続します

bull StoreFrontEndpoint ManagementCitrix Virtual AppsCitrix Virtual Desktopsおよび WebInterfaceは安全なネットワークに存在します

bull ShareFileはEndpoint Managementで設定されますShareFileの詳細についてはShareFileトピックとユーザーアクセスの ShareFile構成トピックを参照してください


Citrix Gateway 130

StoreFrontと Endpoint Management展開法はモバイルデバイスに提供するアプリによって異なりますMDX Toolkit でラップされた MDX アプリにユーザーがアクセスできる場合Endpoint Management はセキュアネットワークの StoreFront の前に存在しますMDX アプリケーションへのアクセスを提供しない場合StoreFrontはセキュアネットワークの Endpoint Managementの前に存在します


ユーザーがアプリケーションデスクトップShareFileに接続する法

March 26 2020

展開環境に Citrix Endpoint Managementがある場合ユーザーは次の法で接続できます

bull 内部ネットワークのリソースへの完全な VPNトンネルを確する Citrix Gatewayプラグインセッションプロファイルを作成してWindowsの Citrix GatewayプラグインまたはMacの Citrix Gatewayプラグインを選択しますユーザーがプラグインを使してログオンするとエンドポイントの分析スキャンをユーザーデバイスで実できます

注エンドポイント分析スキャンをMacコンピューターで実できるようにするにはCitrix Gateway 101Build 1201316e以降をインストールする必要があります

bull Citrix Workspaceアプリを使してShareFileから Endpoint Managementを介してウェブSaaSエンタープライズアプリケーションWebリンクおよびドキュメントに接続しますユーザーが CitrixWorkspaceアプリでログオンするとCitrix Gatewayは接続を Endpoint ManagementにルーティングしますCitrix Workspaceアプリが接続を確するとユーザーのアプリケーションとドキュメントがCitrix Workspaceアプリに表されますユーザーが Citrix WorkspaceアプリでログオンしEndpointManagementに直接接続する場合はCitrix Gatewayでクライアントレスアクセスを有効にする必要がありますこの展開ではStoreFrontは必要ありません

bull Citrix Workspaceアプリを使してStoreFrontまたはWeb Interfaceを介して公開アプリケーションおよび仮想デスクトップに接続できますユーザーが Citrix WorkspaceアプリでログオンするとCitrixGatewayは StoreFrontまたはWeb Interfaceへの接続をルーティングしますCitrix Workspaceアプリが接続を確するとユーザーアプリケーションとデスクトップが Citrix Workspaceアプリに表されます

bull Secure HubはEndpoint Managementを介してモバイルデバイスからWorxMailやWorxWebなどの iOS および Android アプリに接続しますユーザーはSecure Hub にログオンするとEndpointManagementで設定したモバイルアプリにアクセスできますCitrix GatewayがMicro VPN接続を確するとユーザーのモバイルアプリが Secure Hubウィンドウに表されますユーザーは Secure Hubからアプリを起動できます部のアプリではユーザーがモバイルデバイスにアプリをダウンロードしてインストールする必要があります

前述のシナリオのいずれかでユーザーが Citrix Gateway経由で接続する場合は次の操作をいます


Citrix Gateway 130

bull ユーザーはCitrix Gatewayプラグインまたは Citrix Workspaceアプリを使してログオンします初めてログオンするにはユーザーがWebブラウザーを開きCitrix Gatewayまたは Citrix Workspaceアプリの完全修飾ドメイン名（FQDN）をしますモバイルデバイスを持つユーザーはSecure Hubを使してログオンします

bull ログオンページでユーザーは分の資格情報をし認証されますbull 認証後ユーザーセッションは展開環境に応じて StoreFrontまたは Endpoint Managementにリダイレクトされます

bull StoreFrontと Endpoint Managementの両を展開する場合Citrix Gatewayは展開の最初のサーバーに接続しますたとえばEndpoint ManagementでMDXモバイルアプリを構成する場合EndpointManagement背後に StoreFrontを展開しますMDXモバイルアプリケーションへのアクセスを提供しない場合はStoreFrontの背後に Endpoint Managementを展開します

bull ユーザーのデスクトップドキュメントWebSaaSWindowsベースのアプリケーションはすべて CitrixWorkspaceアプリまたは Secure Hubに表されます

Exchangeファイル共有内部Webサイトなど内部ネットワーク上の他のリソースにアクセスする必要がある場合はCitrix Gatewayプラグインを使してログオンすることもできますたとえばユーザーがネットワーク内のMicrosoft Exchangeサーバーに接続する場合ユーザーは分のコンピュータで Outlookを起動しますセキュアな接続はCitrix Gatewayに接続する Citrix Gatewayプラグインを使してわれますSSL VPNトンネルが Exchange Serverに作成されユーザは分の電メールにアクセスできます

重要Citrix Gateway仮想サーバーで認証を構成することをお勧めしますCitrix Gatewayで認証を無効にすると認証されていない HTTPリクエストが内部ネットワークのWeb InterfaceStoreFrontまたはEndpoint Managementを実しているサーバーに直接送信されます


Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使した展開

April 9 2020

ユーザーはWindowsWebSaaSおよびモバイルアプリケーションおよびネットワークでホストされている仮想デスクトップに接続できますCitrix GatewayCitrix Endpoint Managementおよび Citrix VirtualApps and Desktopsを使してリモートユーザーおよび内部ユーザーにアプリケーションおよびデスクトップへのアクセスを提供できますCitrix Gatewayはユーザーを認証しCitrix Workspaceアプリまたは SecureHubを使してアプリケーションへのアクセスを許可します

ユーザーはCitrix Workspaceアプリと StoreFrontを使してCitrix Virtual Appsで公開されたWindowsベースのアプリと Citrix Virtual Desktopsで公開された仮想デスクトップに接続します


Citrix Gateway 130

Citrix Endpoint Management にはユーザーが WebSaaSおよび MDX アプリケーションに接続できるようにする Citrix Endpoint Managementが含まれていますEndpoint ManagementではShareFileドキュメントとともにシングルサインオン（SSO）のウェブSaaSMDX アプリケーションを管理できますEndpoint Managementは内部ネットワークにインストールしますリモートユーザーはCitrix Gatewayを介して Endpoint Managementに接続しアプリケーションおよび ShareFileデータにアクセスしますリモートユーザーはCitrix GatewayプラグインCitrix Workspaceアプリまたは Secure Hubのいずれかを使して接続しアプリケーションおよび ShareFile にアクセスできます内部ネットワークにいるユーザーはCitrix Workspaceアプリを使して Endpoint Managementに直接接続できます次の図はEndpointManagementと StoreFrontを使して展開された Citrix Gatewayをしています

展開環境でEndpoint ManagementからMDXアプリケーションにアクセスできStoreFrontからWindowsベースのアプリケーションにアクセスできる場合は次の図にすようにStoreFront の前に EndpointManagementを展開します

図 1StoreFrontの前で Endpoint Managementを使した Citrix Gatewayの展開

展開環境で MDXアプリケーションへのアクセスが提供されていない場合StoreFrontは次の図にすようにEndpoint Managementの前に存在します

図 2Endpoint Managementの前で StoreFrontを使した Citrix Gatewayの展開

展開するたびにStoreFrontと Endpoint Managementが内部ネットワークに存在しCitrix GatewayがDMZに存在する必要がありますEndpoint Managementの展開について詳しくは「Endpoint Managementインストール」を参照してくださいStoreFrontの展開について詳しくは「StoreFront」を参照してください


Web Interfaceを使した Citrix Virtual Apps and Desktopsリソースへのアクセス

March 26 2020

Citrix Virtual Apps and Desktopsを実している 1台以上のコンピューターがサーバーファームを作成します企業ネットワークにサーバーファームが含まれている場合はCitrix Gatewayを展開してWeb Interfaceを使して公開アプリケーションまたは仮想デスクトップにセキュアなインターネットアクセスを提供できます

このような展開ではCitrix GatewayはWeb Interfaceおよび Secure Ticket Authorority（STA）と連携してCitrix Virtual Appsを実しているコンピューターでホストされている公開アプリケーションまたは Citrix VirtualDesktopsが提供する仮想デスクトップへの認証承認リダイレクトをいます


Citrix Gateway 130

この機能はCitrix GatewayとWeb InterfaceCitrix Virtual Appsおよびデスクトップを統合することによって実現されますこの統合により度な認証とWeb Interfaceへのアクセス制御オプションが提供されますWebInterfaceの詳細についてはCitrixドキュメントライブラリのWeb Interfaceドキュメントを参照してください

サーバーファームへのリモート接続にはCitrix Gatewayプラグインは必要ありません公開アプリケーションまたはデスクトップにアクセスするにはユーザーは Citrix Workspaceアプリを使して接続します



April 9 2020

ユーザー接続に Citrix Gateway を構成する場合Citrix 仮想アプリCitrix Virtual Desktopsまたはその両へのネットワークトラフィックの設定を含めることができますこれをうにはCitrix GatewayとWebInterfaceが相互に通信するように構成します

これらの製品を統合するためのタスクは次のとおりです

bull Citrix Virtual Apps and DesktopsファームでWeb Interfaceサイトを作成するbull Citrix Gateway経由でユーザー接続をルーティングするためのWeb Interface内の設定を構成するbull Web Interfaceおよび Secure Ticket Authority（STA）と通信するように Citrix Gatewayを構成する

またダブルホップ DMZに Citrix Gatewayを展開することでCitrix Virtual Appsサーバーファームと通信するように Citrix Gatewayを構成することもできます詳しくは「ダブルホップ DMZでの Citrix Gatewayの展開」を参照してください

Citrix GatewayおよびWeb InterfaceはSTAおよび Citrix XMLサービスを使してユーザー接続を確しますSTAおよび XMLサービスはCitrix Virtual Apps and Desktopsサーバー上で実されます


サーバファームへのセキュアな接続の確

March 26 2020

以下の例はDMZにデプロイされた Citrix GatewayがWeb Interfaceと連携してセキュアなエンタープライズネットワークで使可能な公開リソースへのセキュアな単アクセスポイントを提供する法をしています

この例では次のすべての条件が存在します


Citrix Gateway 130

bull インターネットからのユーザーデバイスはCitrix Workspaceアプリを使して Citrix Gatewayに接続します

bull Web Interfaceは安全なネットワーク内の Citrix Gatewayの背後に存在しますユーザーデバイスによって Citrix Gatewayへの初期接続が確されその接続がWeb Interfaceに渡されます

bull セキュアネットワークにはサーバファームが含まれていますこのサーバーファーム内の 1つのサーバーがSecure Ticket Authority（STA）と Citrix XMLサービスを実しますSTAと XMLサービスはCitrixVirtual Apps and Desktopsのいずれかで実できます

プロセスの概要サーバーファームで公開されたリソースへのユーザーアクセス

1 リモートユーザーはCitrix Gatewayのアドレス（例httpswwwagwxycocom）をWebブラウザのアドレスフィールドにしますユーザーデバイスはポート 443でこの SSL接続を試します接続が成功するにはファイアウォールを介して開かれている必要があります

2 Citrix Gateway は接続要求を受信しユーザーに資格情報のを求められます資格情報は CitrixGateway経由で戻されユーザーが認証され接続がWeb Interfaceに渡されます

3 Web Interfaceはサーバーファームで実されている Citrix XMLサービスにユーザーの資格情報を送信します

4 XMLサービスはユーザーの資格情報を認証しユーザーがアクセスを許可されている公開アプリケーションまたはデスクトップのリストをWeb Interfaceに送信します

5 Web Interfaceではユーザーがアクセスを許可されている公開リソース（アプリケーションまたはデスクトップ）のリストがWebページにされこのWebページをユーザーデバイスに送信します

6 ユーザーが公開アプリケーションまたはデスクトップリンクをクリックしますユーザーがクリックした公開リソースをす HTTPリクエストがWeb Interfaceに送信されます

7 WebインタフェースはXMLサービスと対話し公開されたリソースが実されているサーバーをすチケットを受け取ります

8 Web Interfaceはセッションチケット要求を STAに送信しますこの要求は公開リソースが実されるサーバーの IPアドレスを指定しますSTAがこの IPアドレスを保存し要求されたセッションチケットをWeb Interfaceに送信します

9 Web InterfaceによりSTAが発したチケットを含む ICAファイルが成されユーザーデバイスのWebブラウザに送信されますWeb Interfaceによって成された ICAファイルにはCitrix Gatewayの完全修飾ドメイン名（FQDN）またはドメインネームシステム（DNS）名が含まれています要求されたリソースを実しているサーバーの IPアドレスがユーザーに公開されることはありません

10 ICAファイルにはWebブラウザに Citrix Workspaceアプリを起動するように指するデータが含まれていますユーザーデバイスはICAファイル内の Citrix Gatewayの FQDNまたは DNS名を使して CitrixGatewayに接続します初期 SSLTLSハンドシェイクが実されCitrix Gatewayのアイデンティティが確されます

11 ユーザーデバイスがセッションチケットを Citrix Gatewayに送信しCitrix Gatewayが STAに接続してチケットの検証をいます

12 STAは要求されたアプリケーションが存在するサーバーの IPアドレスを Citrix Gatewayに返します


Citrix Gateway 130

13 Citrix Gatewayはサーバーへの TCP接続を確します14 Citrix Gatewayはユーザーデバイスとの接続ハンドシェイクを完了しサーバーとの接続が確されたこと

をユーザーデバイスに通知しますユーザーデバイスとサーバー間のトラフィックはすべてCitrix Gatewayを介してプロキシされますユーザーデバイスと Citrix Gatewayの間のトラフィックは暗号化されますCitrix Gatewayとサーバー間のトラフィックは個別に暗号化できますがデフォルトでは暗号化されません


Web Interfaceを使したデプロイ

April 9 2020

Citrix Gatewayを展開して CitrixCitrix Virtual Apps and Desktopsへのセキュアなリモートアクセスを提供する場合Citrix GatewayはWeb Interfaceおよび Secure Ticket Authorority（STA）と連携してサーバーファームでホストされている公開アプリケーションおよびデスクトップへのアクセスを提供します

DMZでの Citrix Gatewayの展開はCitrix Gatewayがサーバーファームで動作する場合の最も般的な構成ですこの構成ではCitrix GatewayはWebブラウザーと Citrix Workspaceアプリに対してWeb Interfaceを介して公開されたリソースにアクセスするための安全な単アクセスポイントを提供しますこのセクションではこの展開オプションに関する基本的な側について説明します

組織のネットワーク構成によってCitrix Gatewayがサーバーファームで動作する場合の展開場所が決まります次の 2つのオプションが使できます

bull 組織が単の DMZで内部ネットワークを保護する場合はDMZに Citrix Gatewayを展開しますbull 組織が 2つの DMZを使して内部ネットワークを保護する場合はダブルホップ DMZ構成内の 2つのネットワークセグメントそれぞれに 1つの Citrix Gatewayを展開します詳しくは「ダブルホップ DMZでのCitrix Gatewayの展開」を参照してください注セキュアネットワーク内の 2番の Citrix Gatewayアプライアンスでダブルホップ DMZを構成することもできます

サーバーファームへのリモートアクセスを提供するために Citrix Gatewayを DMZに展開する場合以下の 3つの展開オプションのいずれかを実装できます

bull DMZ内の Citrix Gatewayの背後にあるWeb Interfaceを展開しますこの構成では次の図にすようにCitrix GatewayとWeb Interfaceの両が DMZに展開されます最初のユーザー接続は Citrix Gatewayに送信されWeb Interfaceにリダイレクトされます図 1DMZ内の Citrix Gatewayの背後にあるWeb Interface

bull DMZ の Web Interface と並して Citrix Gateway を展開しますこの構成ではCitrix Gateway とWeb Interfaceの両が DMZに展開されますが最初のユーザー接続は Citrix GatewayではなくWebInterfaceに送信されます


Citrix Gateway 130

bull DMZに Citrix Gatewayを展開し内部ネットワークにWeb Interfaceを展開しますこの構成ではCitrixGatewayはユーザーの要求を認証してからセキュリティで保護されたネットワーク内のWeb Interfaceに要求を中継しますWeb Interfaceは認証を実しませんがSTAと対話して ICAファイルを成しICAトラフィックが Citrix Gateway経由でサーバーファームにルーティングされるようにします

Web Interfaceを展開する場所は次のようなさまざまな要因によって異なります

bull 認証ユーザーがログオンするとCitrix GatewayまたはWeb Interfaceでユーザーの資格情報を認証できますWeb Interfaceをネットワークに配置することはユーザーが認証する場所を部分的に決定する要素です

bull ユーザーソフトウェアユーザーはCitrix Gatewayプラグインまたは Citrix Workspaceアプリを使してWeb Interfaceに接続できますCitrix Workspaceアプリのみを使してユーザーがアクセスできるリソースを制限したりCitrix Gatewayプラグインを使してユーザーにネットワークアクセスを強化したりできますユーザーの接続法およびユーザーの接続を許可するリソースはネットワーク内のWebInterfaceを展開する場所を決定するのに役ちます


セキュアネットワークでのWeb Interfaceの展開

March 26 2020

この展開ではWeb Interface は安全な内部ネットワークに存在しますCitrix Gateway は DMZ にありますCitrix GatewayはWeb Interfaceにリクエストを送信する前にユーザーのリクエストを認証します

セキュリティで保護されたネットワークにWeb Interfaceを展開する場合はCitrix Gatewayで認証を構成する必要があります

Citrix Virtual Apps and Desktopsを使してWeb Interfaceを展開する場合Web Interfaceをセキュリティで保護されたネットワークに展開することがデフォルトの展開シナリオですデスクトップ Delivery ControllerーをインストールするとカスタムバージョンのWeb Interfaceもインストールされます

重要Web Interfaceが安全なネットワーク内にある場合はCitrix Gatewayで認証を有効にする必要がありますユーザーはCitrix Gatewayに接続し資格情報をしてWeb Interfaceに接続します認証を無効にすると認証されていないHTTP要求はWeb Interfaceを実しているサーバーに直接送信されますCitrixGatewayでの認証を無効にするのはWeb Interfaceが DMZ内にありユーザーがWeb Interfaceに直接接続する場合のみです

図 1セキュアなネットワーク内にあるWeb Interface



Citrix Gateway 130

DMZでの Citrix Gatewayと並してWebインターフェイスを展開する

March 26 2020

この展開ではWeb Interfaceと Citrix Gatewayの両が DMZに存在しますユーザーはWebブラウザーまたは Citrix Workspaceアプリを使してWeb Interfaceに直接接続しますユーザー接続は最初に認証のためにWeb Interfaceに送信されます認証後接続は Citrix Gateway経由でルーティングされますユーザーはWeb Interfaceに正常にログオンするとサーバーファーム内の公開アプリケーションまたはデスクトップにアクセスできますユーザーがアプリケーションまたはデスクトップを起動するとWeb Interfaceによって ICAファイルが送信されますこのファイルはSecure Gateway Gatewayを実しているサーバーであるかのように CitrixGateway経由で ICAトラフィックをルーティングする順が含まれていますWeb Interfaceによって配信されるICAファイルにはSecure Ticket Authority（STA）によって成されたセッションチケットが含まれています

Citrix Workspaceアプリが Citrix Gatewayに接続するとチケットが表されますCitrix Gatewayは STAに接続しセッションチケットを検証しますチケットがまだ有効な場合ユーザーの ICAトラフィックはサーバーファーム内のサーバーに中継されます次の図はこの展開をしています

図 1Citrix Gatewayと並してインストールされるWeb Interface

Web Interfaceが DMZで Citrix Gatewayと並して実されている場合はCitrix Gatewayで認証を構成する必要はありませんWeb Interfaceはユーザーを認証します


DMZでの Citrix Gatewayの背後にあるWebインターフェイスの展開

March 26 2020

この構成ではCitrix GatewayとWeb Interfaceの両が DMZに展開されますユーザーが Citrix Workspaceアプリでログオンすると最初のユーザー接続は Citrix Gatewayに送信されWeb Interfaceにリダイレクトされますすべての HTTPSおよび ICAトラフィックを単の外部ポート経由でルーティングし単の SSL証明書の使を要求するにはCitrix GatewayはWeb InterfaceのリバースWebプロキシとして機能します

図 1Citrix Gatewayの背後にあるWeb Interface

Web Interfaceを DMZの Citrix Gatewayの背後に展開する場合アプライアンス上で認証を構成することはできますが必須ではありません両が DMZに存在するためCitrix GatewayまたはWeb Interfaceでユーザーを認証できます



Citrix Gateway 130


March 26 2020

Web Interface を使するとユーザーは Citrix Virtual Apps アプリケーションやコンテンツおよび CitrixVirtual Desktopsにアクセスできますユーザーは標準のWebブラウザまたは Citrix Workspaceアプリを使して公開アプリケーションおよびデスクトップにアクセスします

アクセス管理コンソールを使してWeb Interface 51サイトを構成しWeb Interface管理コンソールを使してバージョン 5253および 54のWeb Interfaceサイトを作成できますコンソールはWindowsベースのプラットフォームにのみインストールできます

Citrix Gatewayと連携するようにWeb Interfaceを構成するには以下を実する必要があります

bull 使しているバージョンのWeb Interfaceサイトを作成しますbull Web Interfaceで設定をいますbull Citrix GatewayでWeb Interface設定を構成します



March 26 2020

Citrix Gatewayで動作するようにWeb Interfaceを構成する前にCitrix Virtual AppsのWebサイトと CitrixVirtual Appsサービスサイトの違いを理解する必要があります

bull Citrix Virtual AppsWebサイトWeb InterfaceはCitrix Virtual Apps Webサイトを作成および管理するための機能を提供しますユーザーはWebブラウザとプラグインを使して公開リソースやストリーム配信アプリケーションにリモートでアクセスします

bull Citrix Virtual AppsサービスサイトCitrix Virtual Appsは柔軟性と構成の容易さを考慮して設計されたプラグインですCitrix Virtual AppsをWeb Interface上の Citrix Virtual Appsサービスサイトと組み合わせて使することで公開リソースをユーザーのデスクトップと統合できますユーザーはデスクトップまたは [スタート]メニューのアイコンをクリックするかコンピュータデスクトップの通知領域をクリックしてリモートアプリケーションとストリームアプリケーションおよびリモートデスクトップとコンテンツにアクセスしますオーディオディスプレイログオンの設定などユーザーがアクセスして変更できる構成オプションを決定できます

注このオプションを選択すると仮想デスクトップへのアクセスはサポートされていません


Citrix Gateway 130

詳細についてはCitrix eDocsライブラリの［テクノロジ］ノードにあるWeb Interfaceのドキュメントを参照してください



April 9 2020

セキュアなネットワークに Web Interfaceを展開しCitrix Gatewayで認証を構成するとユーザーが CitrixGatewayに接続するとアプライアンスはユーザーを認証します

重要Citrix Gatewayを構成する前にWeb Interfaceをインストールして構成してください詳細についてはCitrix eDocsライブラリの［テクノロジ］ノードにあるWeb Interfaceのドキュメントを参照してください

Web Interfaceサイトを作成する順は次のとおりです

bull ユーザーのログオン法を選択しますこれはWebブラウザCitrix Gatewayプラグインまたは CitrixWorkspaceアプリを介してうことができます詳細についてはWeb Interfaceの機能を参照してください

bull ユーザーの認証元を特定しますCitrix GatewayまたはWeb Interface

注Web Interfaceがセキュアなネットワーク内にある場合はCitrix Gatewayの仮想サーバーで認証を有効にします認証を無効にすると認証されていない HTTP要求はWeb Interfaceを実しているサーバーに直接送信されますCitrix Gatewayでの認証を無効にするのはWeb Interfaceが DMZ内にありユーザーがWeb Interfaceに直接接続する場合のみです

Citrix Gatewayに有効なサーバー証明書をインストールしてください証明書の取り扱いについて詳しくは「証明書のインストールと管理」を参照してください

重要Web Interfaceを Citrix Gateway 101で正しく動作させるにはWeb Interfaceを実するサーバーが Citrix Gateway証明書を信頼し仮想サーバーの完全修飾ドメイン名（FQDN）を正しい IPアドレスに解決できる必要があります



March 26 2020


Citrix Gateway 130




MicrosoftインターネットインフォメーションサービスのWeb InterfaceをインストールするとCitrix WebInterface Managementコンソールが動的にインストールされます［スタート］＞［すべてのプログラム］＞［Citrix］＞［管理コンソール］＞［Citrix Web Interface管理］の順にクリックしてコンソールを実します


設定ファイルの使

Web Interfaceサイトを構成するには次の構成ファイルを編集できます

bull Web Interface構成ファイルWeb Interface構成ファイル WebInterfaceconfを使すると多くのWeb Interfaceのプロパティを変更できますこれはMicrosoftインターネットインフォメーションサービス (IIS)と Javaアプリケーションサーバーの両で使できますこのファイルを使して常的な管理タスクを実しさらに多くの設定をカスタマイズできますWebInterfaceconfの値を編集し更新したファイルを保存して変更を適しますWebInterfaceconfを使してWeb Interfaceを構成する法の詳細についてはCitrix eDocsのテクノロジノードにあるWeb Interfaceのドキュメントを参照してください

bull Citrixオンラインプラグイン構成ファイルCitrixオンラインプラグインはWeb Interfaceサーバー上のconfigxmlファイルを使して構成できます



Citrix Gateway 130

Citrix Web Interface管理コンソールを使したサイトの構成

March 26 2020




Citrix Web Interface管理コンソールはMicrosoft IISWeb Interfaceをインストールすると動的にインストールされます［スタート］＞［すべてのプログラム］＞［Citrix］＞［管理コンソール］＞［Citrix Web Interface管理］の順にクリックしてコンソールを実します




March 26 2020

展開環境で Citrix Gatewayを使するにはアプライアンスをサポートするWeb Interfaceを構成する必要がありますこれをうにはCitrix Web Interface管理コンソールでセキュリティで保護されたアクセスタスクを使します


Citrix Gateway 130

Web Interfaceで Citrix Gateway設定を構成するには

1 Windowsの [スタート]メニューで[すべてのプログラム] gt [Citrix管理コンソール] gt [Citrix Web Interface管理]の順にクリックします

2 Citrix Web Interface管理コンソールの左側のペインで［Citrix Virtual Apps Webサイト］または［CitrixVirtual Appsサービスサイト］のいずれかをクリックし結果ペインでサイトを選択します

3 [操作]ウィンドウで[セキュリティで保護されたアクセス]をクリックします

4 [アクセス法の指定]ページで次のいずれかの操作をいます

bull [Add]をクリックして新しいアクセスルートを追加します

bull リストから既存のルートを選択し[Edit]をクリックします

5 [アクセス法]ボックスの覧で次のいずれかのオプションを選択します

bull Citrixサーバーの実際のアドレスを Citrix Gatewayに送信する場合は「Citrix Gatewayダイレクト」を選択します

bull Citrix Virtual Appsサーバーの代替アドレスを Citrix Gatewayに送信する場合は「Citrix Gatewayの代替」を選択します

注代替アドレスが使されている場合Citrix Virtual Desktopsにはアクセスできません

bull Citrix Gatewayに指定されたアドレスをWeb Interfaceで設定されたアドレス変換マッピングによって決定する場合は「ゲートウェイ変換」を選択します

6 クライアントネットワークを識別するネットワークアドレスとサブネットマスクをします[Move Up]ボタンと [Move Down]ボタンを使して[User device addresses]テーブルでアクセスルートを優先度順に配置し[Next]をクリックします

7 Gatewayアドレス変換を使していない場合はステップ 10に進みますGatewayアドレス変換を使している場合は[アドレス変換の指定]ページで次のいずれかの操作をいます

bull [Add]をクリックして新しいアドレス変換を追加します

bull リストから既存のアドレス変換を選択し[Edit]をクリックします

8 [アクセスタイプ]領域で次のいずれかのオプションを選択します

bull Citrix Gatewayで変換されたアドレスを使して Citrixサーバーに接続する場合は［ゲートウェイルート変換］を選択します

bull［ユーザーデバイスアドレス］テーブルでクライアント変換ルートを構成しCitrixクライアントと CitrixGatewayの両で変換されたアドレスを使して Citrixサーバーに接続する場合は［ユーザーデバイスとGatewayのルート変換］を選択します

9 Citrixサーバーの内部ポートと外部（変換済み）ポートとアドレスをし[OK]をクリックし[次へ]をクリックします


Citrix Gateway 130

Citrix GatewayはCitrixサーバーに接続するときに外部ポート番号とアドレスを使します作成するマッピングがサーバーファームで使されているアドレッシングのタイプと致していることを確認します

10 ［ゲートウェイ設定の指定］ページでクライアントが使する必要のある Citrix Gatewayアプライアンスの完全修飾ドメイン名（FQDN）とポート番号を指定しますFQDNはGatewayにインストールされている証明書の内容と致する必要があります

11 クライアントが動的に再接続を試する間切断されたセッションを開いたままにする場合はCitrixセッションの画の保持を有効にする］を選択します

12 セッション画の保持を有効にし2台の STA（Secure Ticket Authorority）サーバーから同時にチケットを発する場合は「2つの STAからチケットを要求する」を選択しますこのオプションを有効にするとWebInterfaceは 2つの異なる STAからチケットを取得しセッション中に 1つの STAが使できなくなってもユーザーセッションが中断されないようにします何らかの理由でWeb Interfaceが 2つの STAに接続できない場合は1つの STAを使するようにフォールバックします［次へ］をクリックします

13 [Secure Ticket Authority設定の指定]ページで次のいずれかの操作をいます

bull「追加」をクリックしてWebインタフェースが使できる STAの URLを指定しますbull リストからエントリを選択し[Edit]をクリックします

[上へ移動]ボタンと [下へ移動]ボタンを使してSTAを優先順に配置しますSTAはCitrix XMLサービスに含まれています（例http[s]servernamedomaincomscriptsctxstadll）

フォールトトレランスには複数の STAを指定できますがこの的には外部ロードバランサーを使しないことをお勧めします

14 STA間のロードバランシングを有効にするかどうかを選択するには「ロードバランシングに使」を選択します

負荷分散を有効にすると1台のサーバーが過負荷にならないようにサーバー間で接続を均等に分散できます

15 到達不能な STAをバイパスする期間を指定するには[障害が発したサーバをバイパスする]を選択します

Web InterfaceはSTA URLリストのサーバー間にフォールトトレランスを提供するため通信エラーが発した場合指定された期間にわたって障害が発したサーバーはバイパスされます



March 26 2020


Citrix Gateway 130

Web Interface 53サイトを作成するときにWebブラウザーCitrix Workspaceアプリまたは Citrixデスクトップ Citrix Workspaceアプリのいずれかを使してログオンするようにユーザーに要求できますCitrix WebInterface管理コンソールを使して複数のWeb Interfaceサイトを作成できます

Web Interface 53を使したWeb Interfaceに対してはスマートカードを使したシングルサインオンのみを有効にできますこのバージョンのWeb InterfaceはCitrix Virtual Apps 455060で実できます

Web Interface 53は次のオペレーティングシステムで実されます

bull Windows Server 2003bull Windows Server 2008bull Windows Server 2008 R2

注Citrix Virtual Apps 60はWindowsサーバー 2008 R2でのみ実されます

Web Interface 53のサイトを作成するには


2 左側のペインで［Citrix Virtual Apps］［Webサイト］を選択しますユーザーはWebブラウザを使してWeb Interfaceにログオンします

3 [操作]メニューの [サイトの作成]をクリックします

4 既定のインターネットインフォメーションサービス (IIS)サイトとパスをそのまま使し[次へ]をクリックします

デフォルトのサイトパスはCitrixCitrix Virtual Appsですパスを指定することもできます

注デフォルトパスを使する既存の Citrix Virtual Apps Webサイトがある場合は新しいサイトを区別するために適切な増分が追加されます

5「ユーザー認証を実する場所の指定」で次のいずれかを選択します

bull Web InterfaceでユーザーがWeb Interfaceを使して認証するようにします

Web Interfaceが武装地帯（DMZ）で Citrix Gatewayと並するスタンドアロンサーバーとして展開される場合はこのオプションを選択します

bull Access GatewayでCitrix Gatewayアプライアンスを使してユーザーを認証します

このオプションを選択した場合Citrix Gatewayはユーザーを認証しWeb Interfaceがアプライアンス上で構成されている場合Web Interfaceへのシングルサインオンを開始します


Citrix Gateway 130

注Citrix Gateway で SmartAccess が構成されている場合この設定では Citrix Virtual Apps andDesktopsで SmartAccessが有効になります


7 順 5の「認証サービスの URL」にCitrix Gateway認証サービスの URLへのWebアドレス（httpsaccesscompanycomCitrixAuthServiceAuthServiceasmxなど）をし「次へ」をクリックします

8 [認証オプション]でユーザーのログオン法を選択します

bull 明的ユーザーはWebブラウザーを使してログオンしますbull スマートカードユーザーはスマートカードを使してログオンします


10 順 8で [スマートカード]を選択した場合は次のいずれかを選択します

1 - ユーザーに PINを要求しますユーザーは公開アプリケーションまたはデスクトップを起動するときに個識別番号 (PIN) をします

2 - 公開アプリケーションまたはデスクトップを起動するときにユーザーはPIN をする必要はありません

設定をす概要画が表されます[次へ]をクリックしてWeb Interfaceサイトを作成しますサイトが正常に作成されるとWeb Interfaceの残りの設定を構成するように求められますウィザードの指に従って構成を完了します



March 26 2020

Web Interface 53サイトを作成したらCitrix Web Interface管理を使して Citrix Gatewayの設定を構成できます

Citrix GatewayのWeb Interface53設定を構成するには



Citrix Gateway 130

2 CitrixのWeb Interface管理の左側のペインで［Citrix仮想アプリケーションのWebサイト］をクリックします

3 [操作]ウィンドウで[セキュリティで保護されたアクセス]をクリックします4［セキュアアクセス設定の編集］ダイアログボックスの［追加］をクリックします5 [アクセスルートの追加]ダイアログボックスでユーザーデバイスアドレスサブネットマスクをし[アクセス法]で [ゲートウェイダイレクト]を選択し[OK]をクリックして[次へ]をクリックしますユーザーデバイスアドレスとサブネットマスクを指定しない場合「Gateway direct」オプションはすべてのユーザーデバイスに適されます「Gateway direct」オプションは内部ネットワークの外部から接続するユーザーデバイスに適しています「Direct」オプションは内部ネットワーク内から接続するユーザーデバイスに適しています

6［アドレス（FQDN）］にCitrix Gatewayの完全修飾ドメイン名（FQDN）をしますこれはCitrixGateway証明書で使されているのと同じ FQDNである必要があります

7［Port］ボックスにポート番号をしますデフォルトは 443です8 セッションの画の保持を有効にするには[セッション画の保持を有効にする]をクリックし[次へ]をクリックします

9「Secure Ticket Authority URL」で「追加」をクリックします10［Secure Ticket Authority URL］にCitrix Virtual Apps XMLサービスを実するマスターサーバーの名

前をし［OK］をクリックし［完了］をクリックしますたとえばhttpCitrix VirtualAppssrv01ScriptsCtxStadllとします

Web Interfaceで設定を構成したらCitrix Gatewayで設定を構成できます


単のサイトへの Citrix Virtual Apps and Desktopsの追加

March 26 2020

Citrix Virtual Apps and Desktopsを実している場合は両のアプリケーションを 1つのWeb Interfaceサイトに追加できますこの構成ではCitrix Virtual Apps and Desktopsから同じ Secure Ticket Authority（STA）サーバーを使できます

注Citrix Virtual DesktopsはWeb InterfaceをサポートしていますWeb Interfaceの最低限必要なバージョンは 50です

Web Interface 53または 54を使している場合はWeb Interface管理コンソールを使して Citrix VirtualApps and Desktopsサイトを組み合わせます


Citrix Gateway 130

注サーバーファームが異なるドメインにある場合はドメイン間で双向の信頼を確する必要があります

Web Interface 53または 54を使して Citrix Virtual Apps and Desktopsを単のサイトに追加するには


2 左側のペインで［Citrix Virtual Apps］［Webサイト］を選択します3 [操作]ウィンドウでサイトを右クリックし[サーバーファーム]をクリックします4 [サーバーファームの管理]ダイアログボックスで[追加]をクリックします5 サーバーファームの設定を完了し[ OK ]を 2回クリックします

Citrix Virtual Desktopsを使する場合はWebInterfaceconf構成ファイルで「ユーザーインターフェイスのブランディング」の設定を「デスクトップ」に変更します


Citrix Gatewayを介したユーザー接続のルーティング

April 9 2020

Citrix Virtual Apps and DesktopsではCitrix Gateway経由でルーティングされる接続のみを受けれるようにサーバーを構成できますCitrix XenApp 65ではCitrixCitrix Gateway経由で接続をルーティングするように Citrixアプリケーションセンターでポリシーを構成しますCitrix Virtual Desktops 71ではCitrix Studioを使して設定を構成します

Citrix Gateway経由でルーティングされた接続のみを受け付けるように Citrix XenApp 65サーバーのプロパティを構成するには

1［スタート］＞［管理ツール］＞［Citrix］＞［管理コンソール］＞［Citrix AppCenter］の順にクリックします2「NetScalerリソース」gt「Citrix Virtual Apps」gt「ファーム名」の順に展開しますファーム名はサーバーファームの名前です

3 [ポリシー]をクリックします4 中央のウィンドウで[コンピューター]または [ユーザー]をクリックし[新規作成]をクリックします5 新しいポリシーウィザードの [名前]にポリシーの名前をし[次へ]をクリックします6 [カテゴリ]の [サーバー設定]をクリックします7 [設定]の [接続アクセス制御]の横にある [追加]をクリックします


Citrix Gateway 130

8［設定の追加］-［接続アクセス制御］ダイアログボックスの［値］で［Citrix Access Gateway接続のみ］を選択し［OK］をクリックします

9 [次へ]を 2回クリックし[作成]をクリックしますCitrix Virtual Appsによってポリシーが作成されます

Citrix Gateway経由でルーティングされた接続のみを受けれるように Citrix Virtual Desktopsサーバーのプロパティを構成するには

デリバリーグループのマシンへのアクセスを制限できますCitrix Gateway経由のユーザー接続をフィルタリングする SmartAccessを使してユーザーのアクセスを制限できますこのタスクはStudioの［ポリシー］ノードで実するかクイックリファレンステーブルで説明されているポリシー設定を使して実できます

1 Studioの［デリバリーグループ］で制限するデリバリーグループを選択します2［デリバリーグループの編集］をクリックし［アクセスポリシー］をクリックします3［アクセスポリシー］ページで［Citrix Gatewayを介した接続］を選択しますCitrix Gatewayを介した接続のみが許可されます

4 これらの接続のサブセットを選択するには[次のいずれかのフィルタを満たす接続]を選択しますa) Citrix Gatewayサイトを定義しますb) デリバリーグループに許可されるユーザーアクセスシナリオを定義する SmartAccess字列を追加編集または削除しますSmartAccessの設定の詳細についてはCitrix Gatewayでの SmartAccess構成を参照してください



March 26 2020

Citrix Virtual Apps and Desktopsで実されているWeb Interfaceと通信するようにCitrix Gatewayを構成できますこれをうにはCitrix Gatewayで仮想サーバーを構成します次に署名付きサーバー証明書と認証セッション事前認証および認証後のポリシーを仮想サーバーにバインドしますCitrix Gatewayは仮想サーバーの IPアドレスを使してユーザー接続をWeb Interfaceにルーティングします

公開アプリケーションウィザードではユーザー接続をWeb Interfaceにルーティングするように Citrix Gatewayを構成できますCitrix Gatewayはユーザー接続に Secure Ticket Authority（STA）を使します



Citrix Gateway 130


March 26 2020

Citrix Virtual Apps and Desktopsサーバーとの通信を確するにはサーバーを認識するように Citrix Gatewayを構成する必要があります設定をグローバルに構成することもユーザーグループまたは仮想サーバーにバインドされたポリシーを使することもできます

Citrix GatewayでWeb Interfaceをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバル Citrix Gateway設定］ダイアログボックスの［クライアントエクスペリエンス］タブで次の操作をいます

a)「プラグインの種類」で「Java」を選択しますb)「クライアントレスアクセス」で「許可」を選択します

注iOS向け Citrix Workspaceアプリや Android向け Citrix WorkspaceアプリなどVPN対応の Citrix Workspaceアプリをサポートするにはステップ 3を実しますモバイル CitrixWorkspace アプリをサポートするにはあなたはAccess Gateway の最をインストールする必要があります 10 ビルド 696 または Access Gateway 10 ビルド 716014e AccessGateway 93を実している場合はこの順を実する必要はありません

4 [公開アプリケーション]タブの [ICAプロキシ]の横にある [ON]を選択します5 [Web Interfaceアドレス]の横にWeb InterfaceのWebアドレスをし[ OK]をクリックします

Web Interfaceのセッションポリシーを設定するには

セッションポリシーを構成し仮想サーバーにバインドしてWeb Interfaceへのアクセスを制限できます


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [セッションプロファイルの作成]ダイアログボックスの [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで次の操作をいます

a) プラグインの種類の横にある「グローバル上書き」を選択し「Java」を選択しますb)「クライアントレスアクセス」の横にある「グローバル上書き」を選択し「許可」を選択します

7 ICAプロキシの横にある「グローバルオーバーライド」をクリックし「オン」を選択します


Citrix Gateway 130

8 [Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb InterfaceのWebアドレスをして[作成]をクリックします


セッションポリシーを作成したらポリシーを仮想サーバーにバインドします

セッションポリシーを仮想サーバにバインドするには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [ポリシー]タブで[セッション]をクリックし[ポリシーの挿]をクリックします4 リストからセッションポリシーを選択し優先度番号（オプション）をして[OK]をクリックします



March 26 2020

Web Interfaceを使して Citrix Gatewayを構成するには次の情報が必要です

bull Citrix Virtual Apps and Desktopsを実しているサーバーの IPアドレスbull Web Interfaceを実しているサーバーの完全修飾ドメイン名（FQDN）bull Citrix Gateway上で構成された仮想サーバーbull SmartAccessに設定されたセッションポリシーbull Web Interfaceフェイルオーバーを構成する場合はWeb Interfaceを実する追加サーバーの IPアドレス

公開アプリケーションウィザードを使してWeb Interface設定を構成するには


2 詳細ウィンドウの [はじめに]で[公開アプリケーションウィザード]をクリックします3 [次へ]をクリックしウィザードの指に従います

公開アプリケーションウィザード内からSecure Ticket Authority（STA）を構成およびアクティブ化できます公開アプリケーションウィザードを完了すると設定はグローバルにバインドされます


Citrix Gateway 130


Citrix Gatewayでの Secure Ticket Authorityの構成

March 26 2020

Secure Ticket Authority（STA）はCitrix Virtual Apps上の公開アプリケーションおよびCitrix Virtual Desktops上の公開デスクトップに対する接続要求に応答してセッションチケットを発する役割を担いますこれらのセッションチケットは公開されたリソースへのアクセスのための認証と承認の基礎を形成します

STAはグローバルにバインドすることも仮想サーバにバインドすることもできますまた仮想サーバを構成するときにSTAを実する複数のサーバを追加することもできます

Citrix Gatewayと STA間の通信をセキュリティで保護する場合はSTAを実するサーバーにサーバー証明書がインストールされていることを確認してください

STAの詳細については記事NetScaler Gateway Secure Ticket Authorityを参照してください

STAをグローバルにバインドするには

1 Citrix Gateway gt［グローバル設定］に移動します


3 [ STAサーバのバインドバインド解除]ダイアログボックスで[追加]をクリックします

4 [ STAサーバーの構成]ダイアログボックスでSTAサーバーのURLをし[作成]をクリックし[ OK ]をクリックします

5 [ STAサーバー]ダイアログボックスの [URL]にSTAを実しているサーバーの IPアドレスまたは完全修飾ドメイン名 (FQDN)をし[作成]をクリックします

注STA を実している複数のサーバをリストに追加できますWeb Interface に表される STA はCitrix Gateway上で構成されている STAと致する必要があります複数の STAを構成する場合はCitrix Gatewayと STAを実しているサーバー間で負荷分散を使しないでください


1［Citrix Gateway］gt［仮想サーバー］に移動します2 詳細ウィンドウで仮想サーバーを選択し[編集]をクリックします


Citrix Gateway 130

3 [公開アプリケーション]タブの [Secure Ticket Authority]で[追加]をクリックします4 [ STAサーバの構成]ダイアログボックスでSTAサーバの URLをし[作成]をクリックします5 ステップ 4を繰り返して STAサーバを追加し[ OK]をクリックします


Citrix Gatewayでの追加のWeb Interface設定の構成

April 9 2020

Citrix GatewayをWeb Interface環境に展開する場合は次のオプションタスクを実できます

bull Web Interfaceフェールオーバーの設定Web Interfaceを実するセカンダリサーバーにフェイルオーバーするようにCitrix Gatewayを構成します

bull Web Interfaceを使したスマートカードアクセスの構成Citrix Workspaceアプリとスマートカード認証を使してWeb Interfaceに直接ログオンするようにユーザーセッションを構成します



March 26 2020

公開アプリケーションウィザードを使してWeb Interfaceを実するセカンダリサーバーにフェイルオーバーするように Citrix Gatewayを構成できます

Web InterfaceフェイルオーバーによりプライマリWeb Interfaceに障害が発した場合でもユーザー接続をアクティブなままにできますフェールオーバーを設定する場合はシステム IPアドレスマッピング IPアドレスまたは仮想サーバの IPアドレスに加えて新しい IPアドレスを定義します新しい IPアドレスはシステムまたはマッピング IPアドレスと同じサブネット上にある必要があります

Citrix GatewayでWeb Interfaceフェイルオーバーを構成すると新しい IPアドレスに送信されるネットワークトラフィックはプライマリWeb Interfaceに中継されます公開アプリケーションウィザードで選択した仮想サーバーはネットワークアドレス変換 (NAT) IPアドレスとして機能します実際の IPアドレスはWeb InterfaceのIPアドレスですプライマリWeb Interfaceに障害が発するとネットワークトラフィックがセカンダリWebInterfaceに送信されます


Citrix Gateway 130

Web Interfaceフェールオーバーを構成するには


2 詳細ウィンドウの [はじめに]で[公開アプリケーションウィザード]をクリックします3 [次へ]をクリックし仮想サーバーを選択して[次へ]をクリックします4 [クライアント接続の構成]ページで[Web Interfaceフェールオーバーの構成]をクリックします5 [プライマリWeb Interface]の [Web Interfaceサーバー]にプライマリWeb Interfaceの IPアドレスをします

6 [Web Interfaceサーバーポート]にプライマリWeb Interfaceのポート番号をします7 [仮想サーバー IP]にフェールオーバーの新しい IPアドレスをします8 [仮想サーバーのポート]に仮想サーバーのポート番号をします9 [Web Interfaceのバックアップ]の [Web Interfaceサーバー]にWeb Interfaceを実しているサーバーの IPアドレスをするか覧からサーバーを選択します

10 [Web Interfaceサーバーポート]でWeb Interfaceのポート番号をし[OK]をクリックします11 [次へ]をクリックし指に従ってウィザードを完了します


Web Interfaceを使したスマートカードアクセスの構成

April 9 2020

スマートカード認証を使するようにWeb Interfaceを構成する場合ユーザーのログオン法に応じてCitrixGatewayを統合するために次の展開シナリオを構成できます

bull ユーザーが Citrix Workspaceアプリとスマートカード認証を使してWeb Interfaceに直接ログオンする場合Web Interfaceは DMZの Citrix Gatewayと並する必要がありますWeb Interfaceを実するサーバーもドメインメンバーである必要があります

このシナリオではCitrix GatewayとWeb Interfaceの両が SSL終了を実しますWeb Interfaceはユーザー認証公開アプリケーションの表公開アプリケーションの開始などセキュリティで保護されたHTTPトラフィックを終了しますCitrix Gatewayは着信 ICA接続の SSLを終了します

bull ユーザーが Citrix Gatewayプラグインを使してログオンするとCitrix Gatewayは初期認証を実しますCitrix Gatewayが VPNトンネルを確するとユーザーはスマートカードを使してWeb InterfaceにログオンできますこのシナリオではCitrix Gatewayの背後にWeb Interfaceを DMZまたはセキュリティで保護されたネットワークにインストールできます


Citrix Gateway 130

注Citrix Gatewayではクライアント証明書を使した認証にスマートカードを使することもできます

詳細については「スマートカード認証の構成」を参照してください


Web Interfaceでのアプリケーションおよび Virtual Desktopsへのアクセスの構成

April 9 2020

Citrix Gatewayを構成してReceiverではなく Citrix Gatewayプラグインを使して公開アプリケーションや仮想デスクトップへのアクセスをユーザーに許可できますアプリケーションおよびデスクトップへのアクセスを構成するにはCitrix Gateway上の構成をCitrix Gatewayへの接続にのみ Receiverを使する構成からWebInterfaceへのシングルサインオンで Citrix Gatewayプラグインを使して接続を有効にする構成に変更しますたとえばすべてのユーザーが Citrix Gatewayプラグインを使して接続しWeb Interfaceをホームページとして使するように Citrix Gatewayを構成しますこのシナリオではWeb Interfaceへのシングルサインオンがサポートされています

アプリケーションやデスクトップへのアクセスに加えてユーザーデバイスにインストールされたアプリケーションを実してVPNトンネルを経由してネットワーク接続をうこともできます

設定を開始するには次の注意事項に従ってください

bull Web Interfaceサイトを作成しますbull アクセス制御の詳細設定を構成しますbull SmartAccess構成しますbull Citrix Gatewayでエンドポイント分析を構成しますbull Citrix Virtual Apps and Desktopsポリシーとフィルターを構成しますbull Citrix Gatewayプラグインを使してユーザーがログオンし公開アプリケーションおよび仮想デスクトップにアクセスするように Citrix Gatewayを構成します

詳細についてはCitrix eDocsの以下のトピックを参照してください

bull「Web Interfaceのサイトのセットアップ」を参照してくださいbull Citrix Virtual Apps and Desktopsでの SmartAccessのしくみbull エンドポイントポリシーの設定bull Citrix Virtual Appsポリシーとフィルターの構成bull Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5bull Web Interfaceと通信するための Citrix Gatewayの構成


Citrix Gateway 130

Citrix Virtual Apps and Desktops へのユーザーのログオンを構成するときはまずセッションプロファイルを作成しWindowsの Citrix Gatewayプラグインを選択します次にCitrix Virtual AppsCitrix VirtualDesktopsおよびWeb Interfaceにアクセスするためのイントラネットアプリケーションのプロファイルを作成します

アプリケーションおよびデスクトップにアクセスするための Citrix Gatewayプラグインのグローバル設定を構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［公開アプリケーション］タブで［ICAプロキシ］の横にある［OFF］を選択します4 [Web Interfaceアドレス]にWeb Interfaceサイトの URLをしますこれがユーザーのホームページになります

5 [シングルサインオンドメイン]にActive Directoryドメイン名をします6 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [WindowsMac OS X]を選択し


イントラネットアプリケーションを構成するには



3 [名前]にアプリケーションの名前をします

4 [透明]をクリックします

5 [プロトコル]で[TCP][UDP]または [任意]を選択します

6 [宛先の種類]で[IPアドレス]と [ネットマスク]を選択しますたとえば17216100xサブネット上のすべてのサーバーを表すには172161000とサブネットマスク 2552552550としますWeb InterfaceCitrix Virtual Appsおよびユーザーが接続する他のすべてのサーバーの IPアドレスはイントラネットアプリケーションとして定義されたサブネットのいずれかにある必要があります


7 [IPアドレス]と [ネットマスク]に内部ネットワークを表す IPアドレスとサブネットマスクをし[作成]をクリックし[閉じる]をクリックします



Citrix Gateway 130

イントラネットアプリケーションをグローバルにバインドするには


2 詳細ペインの［イントラネットアプリケーション］で［Java Citrix Gatewayプラグインのセキュリティで保護されたネットワーク内の TCPアプリケーションへのマッピングを作成する］をクリックします

3 [VPNイントラネットアプリケーションの構成]ダイアログボックスで[追加]をクリックします4 [使可能]で1つまたは複数のイントラネットアプリケーションを選択し印をクリックしてイントラネットアプリケーションを [構成済み]に移動し[OK]をクリックします

イントラネットアプリケーションを仮想サーバーにバインドするには


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスで［イントラネットアプリケーション］タブをクリックします

4 [使可能なアプリケーション名]でイントラネットアプリケーションを選択し[追加]をクリックし[OK]をクリックします

ユーザーが Citrix Gatewayプラグインを使してログオンするとVPNトンネルが確されReceiverまたはWeb Interfaceがホームページとして使されます


SmartAccess設定

March 26 2020

SmartAccessを Citrix Virtual Apps and Desktopsとともに使すると公開アプリケーションおよび仮想デスクトップをユーザーにインテリジェントに配信できます

SmartAccessではCitrix Gatewayセッションポリシーを使してサーバー上の公開アプリケーションおよびデスクトップへのアクセスを制御できます公開されたリソースへのアクセスには事前認証および認証後のチェックを条件として他の条件とともに使しますその他の条件にはプリンター帯域幅制限ユーザーデバイスドライブのマッピングクリップボードオーディオプリンターマッピングなどCitrix Virtual Apps and Desktopsポリシーで制御できるものが含まれますユーザーが Citrix Gatewayのチェックに合格したかどうかに基づいてCitrix Virtual Apps and Desktopsポリシーを適できます


Citrix Gateway 130

Citrix GatewayではWeb InterfaceICAプロキシアクセスクライアントレスアクセスおよびCitrix Gatewayアクセスで使できるオプションと同じオプションを使してCitrix Virtual Desktopsを配信できます

この機能はCitrix GatewayコンポーネントをWeb Interfaceおよび Citrix仮想アプリケーションおよびデスクトップと統合することによって実現されますこの統合によりWeb Interfaceへの度な認証とアクセス制御オプションが提供されます詳細についてはCitrix eDocsライブラリの［テクノロジ］ノードにあるWeb Interfaceのドキュメントを参照してください

サーバーファームへのリモート接続にはCitrix Gateway プラグインは必要ありませんユーザーは CitrixWorkspace アプリで接続できますユーザーはCitrix Gateway プラグインを使してログオンしCitrixGatewayのデフォルトのホームページであるアクセスインターフェイスを介して公開アプリケーションおよび仮想デスクトップを受信できます


Citrix Virtual Apps and Desktopsでの SmartAccessのしくみ

March 26 2020

SmartAccessを構成するにはWeb Interfaceで Citrix Gateway設定を構成しCitrix Gatewayでセッションポリシーを構成する必要があります公開アプリケーションウィザードを実するとSmartAccessに作成したセッションポリシーを選択できます

SmartAccessを構成するとこの機能は次のように動作します

1 ユーザーがWebブラウザで仮想サーバのWebアドレスをすると設定した事前認証ポリシーがユーザデバイスにダウンロードされます

2 Citrix Gatewayは事前認証とセッションポリシー名をフィルターとしてWeb Interfaceに送信しますポリシー条件が trueに設定されている場合ポリシーは常にフィルタ名として送信されますポリシー条件が満たされない場合フィルタ名は送信されませんこれによりエンドポイント分析の結果に基づいてCitrixVirtual Appsおよび Desktopsを実しているコンピューター上の公開アプリケーションおよびデスクトップのリストと有効なポリシーを区別できます

3 Web Interfaceは Citrix Virtual Apps and Desktopsサーバーに接続し公開されたリソースリストをユーザーに返しますフィルターが適されたリソースはフィルターの条件が満たされない限りユーザーのリストに表されません

Citrix Gatewayで SmartAccessエンドポイント分析を構成できますエンドポイント分析を構成するにはICAプロキシ設定を有効にするセッションポリシーを作成しクライアントのセキュリティ字列を構成します

ユーザーがログオンするとエンドポイント分析ポリシーによってCitrix Gatewayで構成したクライアントセキュリティ字列を使してユーザーデバイスのセキュリティチェックが実されます


Citrix Gateway 130

たとえばソフォスアンチウイルスの特定のバージョンを確認する場合などです式エディタではクライアントのセキュリティ字列は次のように表されます

1 clientapplicationav(sophos)version == 1002

セッションポリシーを構成したらユーザーグループまたは仮想サーバーにバインドしますユーザーがログオンするとSmartAccessポリシーチェックが開始されユーザーデバイスにバージョン 1002以降の SophosAntivirusがインストールされているかどうかが検証されます

SmartAccessエンドポイント分析チェックが成功するとクライアントレスセッションの場合はWeb Interfaceポータルが表されますそれ以外の場合はアクセスインターフェイスが表されます

SmartAccessのセッションポリシーを作成するとセッションプロファイルに設定が構成されずヌルプロファイルが作成されますこの場合Citrix GatewayはSmartAccessにグローバルに構成されたWeb InterfaceURLを使します


Citrix Virtual Appsポリシーとフィルターの構成

March 26 2020

Citrix Gatewayでセッションポリシーを作成したらエンドポイント分析の構成に従ってユーザーに適されるCitrix Virtual Appsを実しているコンピューターでポリシーとフィルターを構成します

Citrix XenApp 65のポリシーとフィルターを構成するには

1 Citrix Virtual Appsを実しているサーバーで［スタート］＞［管理ツール］＞［Citrix］＞［Citrix VirtualApps］の順にクリックしますプロンプトが表されたら検出を構成して実します

2 左側のペインで［Citrix ADCリソース］gt［Citrix Virtual Apps］gt［ファーム名］の順に展開しますファーム名はサーバーファームの名前です

3 [アプリケーション]をクリックします4 中央のウィンドウでアプリケーションを右クリックし[アプリケーションのプロパティ]をクリックします5 ナビゲーションウィンドウの [プロパティ]で[詳細設定] gt [アクセス制御]をクリックします6 右側のウィンドウで[次のフィルタのいずれかに致する任意の接続]をクリックし[追加]をクリックします

7「Access Gateway」ファームでCitrix Gateway仮想サーバーの名前をします8 [Access Gateway filter]にエンドポイントセッションポリシーの名前をし[OK]をクリックします9 [アプリケーションのプロパティ]ダイアログボックスで[他のすべての接続を許可する]をオフにし[OK]をクリックします


Citrix Gateway 130


SmartAccessのセッションポリシーを構成するには

March 26 2020


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]に[ValidEndpoint]などのポリシーの名前をします

4 [要求プロファイル]で[新規]をクリックし[名前]にプロファイルの名前 (Nullなど)をし[作成]をクリックします

5 [セッションポリシーの作成]ダイアログボックスでクライアントセキュリティ式を作成し[作成][閉じる]の順にクリックします

クライアントセキュリティ式は有効なエンドポイントと無効なエンドポイントを区別するために使されますエンドポイント分析の結果に基づいて公開アプリケーションまたはデスクトップにさまざまなレベルのアクセスを提供できます

セッションポリシーを作成したらグローバルまたは仮想サーバーにバインドします


Citrix Virtual Appsでのユーザーデバイスマッピングの構成

March 26 2020

Citrix Virtual Appsを実しているコンピューター上のポリシーに適される Citrix Gatewayフィルターを使できますフィルターによりユーザーはエンドポイント分析の結果に基づいてユーザーデバイスのドライブマッピングプリンターマッピングクリップボードマッピングなどの Citrix Virtual Apps機能にアクセスできます

Citrix Workspaceアプリはユーザーデバイス上のデバイスのマッピングをサポートしているためユーザーはユーザーセッション内で外部デバイスにアクセスできますユーザーデバイスマッピングにより次の機能が提供されます

bull ローカルドライブとポートへのアクセスbull ユーザーセッションとローカルクリップボード間のカットアンドペーストによるデータ転送


Citrix Gateway 130

bull ユーザーセッションからのオーディオ（システムサウンドとwavファイル）再

ログオン中ユーザーデバイスは使可能なユーザードライブと COMポートをサーバーに通知しますCitrixXenApp 65ではユーザードライブがサーバーにマップされユーザーデバイスのドライブ字が使されますマップされたクライアント側デバイスはそのセッションを実中のユーザーだけが使できますマッピングはユーザーがログオフしユーザーが次回ログオンしたときに再作成されるときに削除されます

XMLサービスを有効にしたあとユーザーデバイスマッピングのポリシーを設定する必要があります

SmartAccessフィルターに基づいてユーザーデバイスマッピングポリシーを適するにはサーバー上に次の 2つのポリシーを作成します

bull ユーザーデバイスマッピングを無効にしすべての Citrix Gatewayユーザーに適される制限付き ICAポリシー

bull ユーザーデバイスマッピングを有効にしエンドポイント分析セッションポリシーを満たすユーザーのみに適される完全な ICAポリシー注フィルタリングされた制限 ICAポリシーは制限 ICAポリシーよりもい優先度を与える必要がありますこれによりユーザーに適されるときに制限ポリシーはユーザーデバイスマッピングを無効にするポリシーを上書きします

Citrix XenApp 65で制限ポリシーと制限ポリシーを構成するにはCitrix AppCenterを使します



March 26 2020

1［スタート］＞［管理ツール］＞［管理コンソール］＞［Citrix AppCenter］の順にクリックします2 左側のペインで［Citrix Virtual Apps］を展開し［ポリシー］をクリックします3 [ポリシー]ペインで[ユーザー]タブをクリックし[新規]をクリックします4 [名前]にポリシーの名前をし[次へ]をクリックします5 [カテゴリ]の [すべての設定]をクリックします6 [設定]の [クライアントドライブの動接続]で[追加]をクリックします7 [設定の追加]ダイアログボックスで[無効][OK][次へ]の順にクリックします8 [カテゴリ]の [すべてのフィルタ]をクリックします9 [フィルタ]の [アクセス制御]で[追加]をクリックします

10 [新しいフィルタ]ダイアログボックスで[追加]をクリックします11 [モード]で[拒否]をクリックします12 [接続の種類]で[Access Gatewayあり]を選択します13 [AGファーム]に仮想サーバー名をします


Citrix Gateway 130

14［アクセス条件］でCitrix Gatewayで構成されているセッションポリシー名をまたは選択し［OK］を2回クリックし［次へ］をクリックし［作成］をクリックしてウィザードを完了します



March 26 2020

1［スタート］＞［管理ツール］＞［管理コンソール］＞［Citrix AppCenter］の順にクリックします2 左側のペインで［Citrix Virtual Apps］を展開し［ポリシー］をクリックします3 [ポリシー]ペインで[ユーザー]タブをクリックし[新規]をクリックします4 [名前]にポリシーの名前をし[次へ]をクリックします5 [カテゴリ]の [すべての設定]をクリックします6 [設定]の [クライアントドライブの動接続]で[追加]をクリックします7 [有効][OK][次へ]の順にクリックします8 [カテゴリ]の [すべてのフィルタ]をクリックします9 [フィルタ]の [アクセス制御]で[追加]をクリックします

10 [新しいフィルタ]ダイアログボックスで[追加]をクリックします11 [モード]で[許可]をクリックします12 [接続の種類]で[Access Gatewayあり]を選択します13 [AGファーム]に仮想サーバー名をします14［アクセス条件］でCitrix Gatewayで構成されているセッションポリシー名をまたは選択し［OK］を

2回クリックし［次へ］をクリックし［作成］をクリックしてウィザードを完了します


隔離アクセス法としての Citrix Virtual Apps有効化

March 26 2020

Citrix Gatewayでエンドポイント分析を構成している場合エンドポイントスキャンに合格したユーザーはCitrixGatewayで設定したすべてのリソースにアクセスできますエンドポイントスキャンに失敗したユーザーを検疫グループにれることができますこれらのユーザーはCitrix Virtual Appsからのみ公開アプリケーションにアクセスできますエンドポイント分析スキャンの成功または失敗によってユーザーが利できるアクセス法が決まります


Citrix Gateway 130

たとえばユーザーがログオンしたときにメモ帳がユーザーデバイスで実されているかどうかを確認するエンドポイント分析スキャンを作成しますメモ帳が実されている場合ユーザーは Citrix Gatewayプラグインを使してログオンできますメモ帳が実されていない場合ユーザーは公開アプリケーションの覧のみを受け取ります

制限されたユーザーアクセスを構成するにはCitrix Gatewayで隔離グループを作成しますセッションプロファイル内で隔離グループを作成しそのプロファイルをセッションポリシーに追加します



March 26 2020

Citrix Virtual Apps検疫アクセス法として有効にするにはCitrix Gatewayで隔離グループとして使するグループを作成します次にグループを選択するセッションポリシーを作成します

セッションポリシーを作成したらそのポリシーを隔離グループにバインドしますポリシーを設定してグループにバインドしたら結果をテストしますたとえばユーザーが正常にログオンするにはメモ帳がユーザーデバイスで実されている必要がありますメモ帳が実されている場合ユーザーは Citrix Gatewayプラグインを使してログオンできますメモ帳が実されていない場合ユーザーは Citrix Workspaceアプリでログオンできます

エンドポイント分析ポリシーの設定の詳細についてはエンドポイントポリシーの設定を参照してください

エンドポイント分析スキャンを作成して検疫グループを追加するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [セッションプロファイルの作成]ダイアログボックスの [名前]にプロファイルの名前をします6 [セキュリティ]タブで[詳細設定]をクリックします7 [セキュリティの設定-詳細]ダイアログボックスの [Client Security]で[グローバルに上書き]をクリックし[新規]をクリックします

8 [式を作成]ダイアログボックスで[任意の式に致]の横にある [追加]をクリックします9「式の種類」で「クライアントセキュリティ」を選択します

10「コンポーネント」で「プロセス」を選択します11 [名前]ボックスに「notepadexe」とし[OK]をクリックし[作成]をクリックします12 [セキュリティの設定-詳細]ダイアログボックスの [隔離グループ]で隔離グループを選択し[作成]をクリ

ックし[OK]をクリックして [作成]をクリックします


Citrix Gateway 130

13 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックして[作成]をクリックして[閉じる]をクリックします


SmartAccessの Citrix Virtual Desktopsの構成

March 26 2020

Citrix Gatewayを使するとCitrix Virtual Desktopsがリモートユーザーにセキュアなデスクトップを配信できますCitrix Virtual DesktopsではCitrix Gatewayの SmartAccess機能を使してデスクトップをインテリジェントに配信できますCitrix Virtual Desktopsのデリバリーサービスコンソールを使してデスクトップグループを作成する場合はアクセス制御のポリシーとフィルタを構成します

公開デスクトップを配信するように Citrix Gatewayを構成するにはWeb InterfaceICAプロキシアクセスクライアントレスアクセスおよび Citrix Gatewayアクセスで使できるものと同じオプションを使します

セッションポリシーを作成し［公開アプリケーション］タブで設定を構成する場合はCitrix Virtual DesktopsWeb InterfaceサイトのWebアドレスを使しますポリシーを作成したら仮想サーバにバインドします次に設定を構成しないヌルセッションプロファイルを作成しますWeb Interfaceの構成はグローバル設定から継承されます


Citrix Virtual Desktopsを使した SmartAccessのセッションポリシーを構成するには

March 26 2020

Citrix Virtual Desktopsにアクセスするように Citrix Gateway上の SmartAccessを構成するには仮想サーバーにバインドされたセッションポリシーを作成します


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [セッションポリシーの作成]ダイアログボックスの [名前]に[Citrix Virtual Desktopsポリシー]などのポリシーの名前をします

4「要求プロファイル」で「新規」をクリックします


Citrix Gateway 130

5［セッションプロファイルの作成］ダイアログボックスの［名前］に［Citrix Virtual Desktopsプロファイル］などのプロファイルの名前をします

6 [公開アプリケーション]タブの [ICAプロキシ]の横にある [グローバル上書き]をクリックし[ON]を選択します

7 [Web Interfaceアドレス]で[グローバルに上書き]をクリックしCitrix Virtual Desktops Web Interfaceサイトの URLをします

8［Single Sign-On Domain］で［グローバルに上書き］をクリックしドメイン名をして［作成］をクリックします

9 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True Value]を選択し[式の追加]をクリックして[作成]をクリックして[閉じる]をクリックします

また仮想サーバーにバインドされたヌルセッションポリシーを作成する必要がありますセッションプロファイルには設定が含まれていないためヌルプロファイルになりますセッションポリシーでTrue Value式を追加しポリシーを保存します

両のセッションポリシーを作成したら両のポリシーを仮想サーバにバインドします


Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5

March 26 2020

Citrix Virtual Desktops 5の設定はDesktop Studioまたはグループポリシーエディターを使して構成できますCitrix Virtual Desktopsで Citrix Gateway設定を構成する場合はCitrix Gateway仮想サーバー名とセッションポリシー名を使します次に定義されたフィルタを満たす接続を許可するようにアクセス制御を設定しますSmartAccessポリシーを使することもできます

1 Citrix Virtual Desktopsサーバーで［スタート］＞［すべてのプログラム］＞［Citrix］＞［Desktop Studio］の順にクリックします

2 左側のペインで[HDX Policy]をクリックして展開し中央のペインの [User]タブをクリックします

3 [ユーザー]で[新規作成]をクリックします

4 [新しいポリシー]ダイアログボックスの [ポリシーの識別]で[名前]に名前をします

5 [次へ]を 2回クリックします

6 [新しいポリシー]ダイアログボックスの [フィルター]タブで[フィルター]の下の [アクセス制御]をクリックし[追加]をクリックします

7 [新しいフィルタ]ダイアログボックスで[追加]をクリックします


Citrix Gateway 130

8 [新しいフィルタ要素]ダイアログボックスの [接続の種類]で[Access Gateway]を選択します

Citrix Gatewayポリシーを考慮せずにCitrix Gateway経由でわれた接続にポリシーを適するにはAGファーム名とアクセス条件をデフォルトのままにします

9 既存の Citrix Gatewayポリシーに基づいてCitrix Gateway経由の接続にポリシーを適する場合は次の操作をいます

a) [AGファーム名]に仮想サーバー名をしますb) [アクセス条件]にエンドポイント分析ポリシーまたはセッションポリシーの名前をします

重要 Citrix Virtual DesktopsではCitrix Gateway仮想サーバーエンドポイント分析ポリシーセッションポリシー名は検証されません情報が正しいことを確認します

10 [OK]を 2回クリックし[次へ][作成]の順にクリックします


デスクトップ Delivery Controllerを STAとして追加するには

March 26 2020

Citrix Virtual Desktopsとの ICA接続を確するにはデスクトップ Delivery Controller IPアドレスを仮想サーバーに Secure Ticket Authority（STA）として追加します


2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [公開アプリケーション]タブの [Secure Ticket Authority]で[追加]をクリックします4 [STAサーバの構成]ダイアログボックスでSTAサーバの URLをし[作成]をクリックします5 順 4を繰り返して STAサーバーを追加しCitrix Gateway仮想サーバーの構成］ダイアログボックスで［OK］をクリックします



March 26 2020


Citrix Gateway 130

Smart Controlを使すると管理者は詳細なポリシーを定義してCitrix Gateway上の Citrix Virtual Appsand Desktopsのユーザー環境属性を構成および適できますSmart Controlを使すると管理者はこれらのサーバータイプの各インスタンスではなく1つの場所からこれらのポリシーを管理できます

スマートコントロールはCitrix Gatewayの ICAポリシーによって実装されます各 ICAポリシーはユーザーグループ仮想サーバーおよびグローバルに適できる式とアクセスプロファイルの組み合わせですICAポリシーはセッション確時にユーザーが認証した後に評価されます

次の表にSmart Controlで適できるユーザー環境属性をします

| | || mdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdash | mdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdashmdash ||クライアントドライブを接続します |ユーザーがログオンするときのクライアントドライブへの既定の接続を指定します|接続クライアント LPTポート |ユーザーがログオンしたときにクライアントからの LPTポートの動接続を指定しますLPTポートはローカルプリンタポートです||クライアントオーディオリダイレクト |クライアントコンピュータにインストールされているサウンドデバイスを介してオーディオを送信するためにサーバーでホストされているアプリケーションを指定します||クライアントクリップボードリダイレクト |クライアントデバイス上のクリップボードアクセスを指定して構成しクリップボードをサーバーにマッピングします||クライアント構成リダイレクト |クライアントへの COMポートのリダイレクトを指定しますCOMポートは COMポートですこれらはシリアルポートです||クライアントドライブリダイレクト |クライアントへのドライブリダイレクトとクライアントからのドライブリダイレクトを指定します||マルチストリーム |指定したユーザのマルチストリーム機能を指定します||クライアント USBデバイスリダイレクト |クライアントへの USBデバイスのリダイレクションを指定します（ワークステーションホストのみ）||ローカルリモートデータ |Citrix Workspaceアプリの HTML5ファイルのアップロードダウンロード機能を指定します||クライアントプリンタのリダイレクト |ユーザーがセッションにログオンするときにサーバーにマップされるクライアントプリンターを指定します||ポリシー |アクション |アクセスプロファイル ||追加 |編集 |削除 ||バインドの表 |ポリシーマネージャ |アクション |

ポリシー

ICAポリシーはアクションアクセスプロファイル式およびオプションでログアクションを指定します[ポリシー]タブでは次のコマンドを使できます

bull 追加


Citrix Gateway 130

bull 編集bull 削除bull バインディングを表bull ポリシーマネージャbull 操作（アクション）

追加



3 次の画が開きます[名前]ダイアログボックスでポリシーの名前をしますこれは必須フィールドです必須フィールドはすべてアスタリスクでされます

4 [アクション]の横で次のいずれかの操作をいます

bull [ gt ] アイコンをクリックして既存のアクションを選択します詳細については(common-processes)の [操作を選択]を参照してください

bull [ + ] アイコンをクリックして新しいアクションを作成します詳細については(common-processes)の [新しいアクションを作成する]を参照してください


5 式を作成します

6 ログアクションを作成します詳細についてはログアクションの作成を参照してください

7 [コメント]ボックスにメッセージをしますコメントはメッセージログに書き込まれますこの情報はしなくても構いません


編集



3 詳細ウィンドウの [ポリシー]タブで[編集]をクリックします

4 ポリシー名を確認します

5 アクションを修正するには次のいずれかの操作をいます

bull 既存のアクションを修正するには[ gt ]アイコンをクリックします詳細については(common-processes)の [操作を選択]を参照してください


Citrix Gateway 130

bull [ + ]をクリックして新しいアクションを作成します詳細については(common-processes)の[新しいアクションを作成する]を参照してください

bull 鉛筆アイコンをクリックして[アクセスプロファイル]を修正します


7 ログアクションを修正するには次のいずれかの操作をいます

bull [+]をクリックして新しいログアクションを作成します

bull 鉛筆アイコンをクリックして監査メッセージを設定します

8 必要に応じてコメントを修正します


削除



3 詳細ウィンドウの [ポリシー]タブで[削除]をクリックします

4 [ Yes]をクリックしてポリシーを削除することを確認します

バインドを表



3 詳細ウィンドウの [ポリシー]タブで[バインドの表]をクリックします

ポリシーマネージャ



3 詳細ペインの [ポリシー]タブで[ポリシーマネージャ]をクリックします

4 [Bind Point]ダイアログボックスでドロップダウンメニューからポリシーを選択します次の選択肢があります


Citrix Gateway 130

bull グローバルをオーバーライドbull VPN仮想サーバーbull キャッシュのリダイレクト仮想サーバーbull デフォルトグローバル

5 [Connection Type]ダイアログボックスでドロップダウンメニューからバインディングポリシーを選択します

6 VPN仮想サーバーまたはキャッシュリダイレクト仮想サーバーのいずれかを選択した場合はドロップダウンボックスを使してサーバーに接続します


バインドの追加

1 [Continue]を選択するとこの画が表されます

2 バインディングをアタッチするポリシーを選択します


ポリシーバインディング

1 [完了]を選択するとこの画が表されます

bull [ gt]アイコンをクリックして既存のポリシーを選択します詳細については既存のポリシーの選択を参照してください

bull [ + ]をクリックして新しいポリシーを作成します詳細については新しいポリシーの作成を参照してください

ポリシーのバインド解除

1 バインド解除するポリシーを選択し[ Unbind ]ボタンをクリックします


3 ポップアップ画で「はい」ボタンをクリックして選択したエンティティのバインドを解除することを確認します

バインドノポリシー

1 NOPOLICYを必要とするポリシーを選択し[ Bind NOPOLICY ]ボタンをクリックします



Citrix Gateway 130

編集

ICAポリシーマネージャから編集できます

1 編集するポリシーを選択し[ Edit]を選択します

2 次の編集をうオプションがあります[バインディングの編集][ポリシーの編集][アクションの編集]

詳しくは [バインドの編集][ポリシーの編集][アクションの編集]を参照してください

バインドの編集

1 ポリシーが選択されている状態で[バインディングの編集]をクリックします

2 的のポリシーを編集していることを確認しますこのポリシー名は編集できません

3 必要に応じて [優先度]を設定します

4 必要に応じて [式に移動]を設定します


ポリシーの編集

1 ポリシーを選択した状態で[ポリシーの編集]をクリックします

2 ポリシーの [Name]を確認し的のポリシーを編集していることを確認しますこのフィールドは編集できません

3 アクションポリシーを変更するには次のいずれかの操作をいます

bull「gt」アイコンをクリックして既存のアクションを選択します詳細については(common-processes)の [操作を選択]を参照してください

bull アクションを作成するには[+ ]アイコンをクリックします詳細については(common-processes)の [新しいアクションを作成する]を参照してください



5 ドロップダウンメニューから的のメッセージタイプを選択しますログアクションを作成するには次のいずれかの操作をいます

bull アクションを作成するには[ + ]アイコンをクリックします詳しくはログアクションの作成を参照してください

bull 鉛筆アイコンをクリックして「監査メッセージの設定」アクションを修正します詳しくは監査メッセージアクションの構成を参照してください


Citrix Gateway 130

6 ICAポリシーに関するコメントをします

7 編集が完了したら[ OK]をクリックします

アクションの編集

1 ポリシーを選択した状態で[ Edit Action]をクリックします



bull [ gt]アイコンをクリックして別のアクセスプロファイルを選択します詳細についてはアクションの構成を参照してください

bull [ +]アイコンをクリックして新しいチャネルプロファイルを選択しますアクセスプロファイルの作成




[ポリシー] gt [アクション]コマンドを使してアクションの名前を変更します


2 [ICAポリシー]タブで[操作]をクリックしますドロップダウンメニューから [名前の変更]を選択します




アクションはポリシーをアクセスプロファイルと接続します[ポリシー]タブでは次のコマンドを使できます

bull 追加bull 編集bull 削除bull 操作（アクション）


Citrix Gateway 130

追加


2 詳細ウィンドウの [操作]タブで[追加]をクリックします

bull [ gt] アイコンをクリックして既存のアクセスプロファイルを選択します詳細については(common-processes)の [既存のアクセスプロファイルの選択]を参照してください

bull [ + ]アイコンをクリックして新しいアクセスプロファイルを作成します詳細についてはアクセスプロファイルを作成しますを参照してください

bull この画では鉛筆アイコンは無効になっています

3［Create］をクリックします

編集


2 詳細ウィンドウの [操作]タブで[編集]をクリックします

アクションの構成




bull [ + ]をクリックして新しいアクセスプロファイルを作成します詳細についてはアクセスプロファイルの作成を参照してください

bull 鉛筆アイコンをクリックしてアクセスプロファイルの設定をクリックします


削除




4 [はい]をクリックしてポリシーを削除するアクションを確認します


Citrix Gateway 130


「ICAアクション」gt「アクション」コマンドを使してアクションの名前を変更します



3 詳細ウィンドウの [操作]タブで[操作]をクリックします

4 ドロップダウンメニューから「アクション」gt「名前変更」を選択します



アクセスプロファイル

ICAプロファイルはユーザー接続の設定を定義します

アクセスプロファイルではユーザーデバイスがポリシー式の条件を満たしている場合にユーザーの Citrix VirtualApps and Desktops環境 ICAに適されるアクションを指定します構成ユーティリティを使してICAポリシーとは別に ICAプロファイルを作成しそのプロファイルを複数のポリシーに使できますポリシーで使できるプロファイルは 1つだけです

アクセスプロファイルはICAポリシーとは独して作成できますポリシーを作成するときにポリシーにアタッチするアクセスプロファイルを選択できますアクセスプロファイルはユーザーが利できるリソースを指定します[ポリシー]タブでは次のコマンドを使できます

bull 追加bull 編集bull 削除

設定ユーティリティを使したアクセスプロファイルの作成


2 詳細ウィンドウで[アクセスプロファイル]タブをクリックし[追加]をクリックします

3 プロファイルの設定を構成し[作成][閉じる]の順にクリックしますプロファイルを作成したらICAポリシーに含めることができます


Citrix Gateway 130

設定ユーティリティを使したポリシーへのアクセスプロファイルの追加

1 構成ユーティリティのナビゲーションペインで［Citrix Gateway］gt［ポリシー］の順に展開し［ICA］をクリックします

2 [ポリシー]タブで次のいずれかの操作をいます

bull [追加]をクリックして新しい ICAポリシーを作成します

bull ポリシーを選択し[Open]をクリックします

3「アクション」メニューでリストからアクセスプロファイルを選択します

4 ICAポリシーの構成を完了し次のいずれかの操作をいます

a [Create]をクリックし[Close]をクリックしてポリシーを作成します

b [OK]をクリックし[閉じる]をクリックしてポリシーを変更します

追加


2 詳細ペインの [アクセスプロファイル]タブで[追加]をクリックします

3 [名前]にアクセスプロファイルの名前をしますこれは必須フィールドです

4 表されるプルダウンメニューから「デフォルト」または「無効」を選択してアクセスプロファイルを作成します


編集

1 編集するアクセスプロファイルを選択します

2 詳細ペインの [アクセスプロファイル]タブで[編集]をクリックします

アクセスプロファイルの設定

1 名前が改訂する名前であることを確認します

2 プルダウンメニューから「デフォルト」または「無効」を選択して必要に応じて構成します



Citrix Gateway 130

削除




4 [ Yes]をクリックして削除するアクセスプロファイルを確認します

共通プロセス

新しいアクションを作成する

1 アクションの名前をします

2 アクセスプロファイルを指定するには次のいずれかを選択します


bull [ + ]をクリックして新しいアクセスプロファイルを作成します詳しくはアクセスプロファイルの作成を参照してください



操作を選択

1 アクションの左側にあるラジオボタンをクリックしてアクションを選択します関連付けられたアクセスプロファイルは許可されるユーザー機能を指定します

2 [選択]ボタンをクリックします

アクセスプロファイルの作成


2 このメニューからアクセスプロファイルを設定することもできます



Citrix Gateway 130

既存のアクセスプロファイルの選択

1 アクセスプロファイルをクリックして選択します

2［編集］をクリックします

3 アクセスプロファイルを設定します詳しくはアクセスプロファイルの設定を参照してください

式

1 既存の式を作成または修正するには「消去」を選択します

これらは典型的な ICA式ですHTTP式の場合は「」を付けて名前をし（）を削除します

ICASERVERPORT この式は指定されたポートがユーザーが接続しようとしている Citrix Virtual Appsand Desktopsのポート番号と致しているかどうかをチェックします

ICASERVERIP この式は指定された IPがユーザーが接続しようとしている Citrix Virtual Appsand Desktops上の IPアドレスと致しているかどうかをチェックします

HTTPREQUSERIS_MEMBER_OF(ldquordquo)NOT この式は指定されたグループ名のメンバーではないユーザーが現在の接続にアクセスしているかどうかをチェックします

HTTPREQUSERIS_MEMBER_OF(ldquogroupnamerdquo) この式は現在の接続にアクセスするユーザーが指定したグループのメンバーであるかどうかをチェックします

HTTPREQUSERNAMECONTAINS(ldquordquo)NOT この式は現在の接続にアクセスしているユーザーが指定したグループのメンバーでないかどうかをチェックします

HTTPREQUSERNAMECONTAINS (「ユーザー名の」)ユーザー名のリソースを指定します

この式は現在の接続が指定された名前でアクセスしているかどうかをチェックします

CLIENTIPDSTEQ(enter ip address here)NOT この式は現在のトラフィックの宛先 IPが指定された IPアドレスと等しくないかどうかをチェックします

CLIENTIPDSTEQ(enter ip address here) この式は現在のトラフィックの宛先 IPが指定された IPアドレスと等しいかどうかをチェックします

CLIENTTCPDSTPORTEQ (enter portnumber)NOT

この式は宛先ポートが指定されたポート番号と等しくないかどうかをチェックします


Citrix Gateway 130

CLIENTTCPDSTPORTEQ (enter port number) この式は宛先ポートが指定されたポート番号と等しいかどうかをチェックします

2 同時に[コントロール]と [スペース]バーを選択するとオプションが表されます

3 期間をします選択をいスペースバーを押します4 上の表の式の各ピリオドにピリオドをします選択をいスペースバーを押します5［OK］をクリックします

グループ識別

グループ名変数を持つ式は事前認証関数またはセッション関数によって定義されます

事前認証

1 設定ペインで [事前認証]を選択します

1 事前認証ポリシーから名前を選択します

2 [事前認証ポリシー]タブで [編集]を選択します

3「アクションを要求」ダイアログボックスの横にある鉛筆アイコンまたは「+」を選択します

4 [ltgroupnamegtデフォルト EPAグループ]ダイアログボックスで (「」)を定義します

セッション

1 設定ペインから [Session]を選択します

ログアクションの作成

1 [ポリシーの設定]画で[ログアクション]ダイアログボックスの横にある [ + ]アイコンを選択します

監査メッセージ作成アクション

2 「監査メッセージアクションの作成」画が表されます監査メッセージに名前を付けます監査メッセージには数字字またはアンダースコア字のみを使できます



Citrix Gateway 130

緊急サーバー上の即時の危機をすイベント

アラートアクションが必要なイベント

重差し迫ったサーバーの危機をすイベント

エラー何らかのエラーをすイベント

警告近い将来に動が必要なイベント

ご注意管理者が知っておくべきイベント

情報低レベル以外のすべてのイベント

デバッグすべてのイベント極端な詳細


5 チェックボックス

bull 新しい nsログにメッセージを送信するには[newnslogにログイン]をオンにしますbull 安全チェックをバイパスするには[安全チェックをバイパス]をオンにしますこれにより安全でない式が許可されます


ログアクションの改訂

1 [ポリシーの構成]画で[ログアクション]ダイアログボックスの横にあるアイコンをクリックします

監査メッセージアクションの構成

編集可能なフィールドは次のとおりです



3 チェックボックスは次のとおりです

bull 新しい nsログにメッセージを送信するには[newnslogにログイン]をオンにします

bull 安全チェックをバイパスするには[安全チェックをバイパス]をオンにしますこれにより安全でない式が許可されます



Citrix Gateway 130

既存のポリシーの選択

1 [ gt ]アイコンをクリックして既存のポリシーを選択します

2 的のポリシーのオプションボタンを選択します

新しいポリシーの作成

1 [名前]にポリシーの名前をしますこれは必須フィールドです

2 [ + ]をクリックして新しいポリシーを作成します

3 アクションを作成します詳細については「新しいアクションを作成する」を参照してください


5 このメニューからアクセスプロファイルを設定します



事前認証および認証後のエンドポイント分析の設定

ここでは認証後および認証前エンドポイント分析（EPA）の設定法について説明します

Smartcontrolを使して認証後 EPAを設定するにはVPNセッションアクションから Smartgroupパラメータを使しますEPA式は VPNセッションポリシーで設定されます

smartgroupパラメータのグループ名を指定できますこのグループ名は任意の字列ですgroupnameはアクティブディレクトリの既存のグループである必要はありません

ICAポリシーをHTTPREQIS_MEMBER_OF（「グループ名」）という式で構成しますSmartgroupに対して以前に指定したグループ名を使します

Smartcontrolで事前認証 EPAを設定するには事前認証プロファイルの Default EPAグループパラメータを使しますEPA式は事前認証ポリシーで設定されます

Default EPA グループパラメータにはグループ名を指定できますこのグループ名は任意の字列ですgroupnameはアクティブディレクトリの既存のグループである必要はありません

ICAポリシーをHTTPREQIS_MEMBER_OF（「グループ名」）という式で構成しデフォルト EPAグループに対して以前に指定したグループ名を使します

認証後の設定

以下の順に従って認証後の構成にスマートグループを設定します


Citrix Gateway 130

1［Citrix NetScalergtポリシー］gt［セッション］に移動します

2 [セッションプロファイル] gt [追加]に移動します

Citrix Gatewayセッションプロファイルの作成

1［セキュリティ］タブを選択します

2 Citrix Gatewayプロファイルの名前をします（アクション）

3 プルダウンメニューの右側にあるボックスを選択し希望するデフォルトの承認アクションを選択します

ユーザーが内部ネットワークにログオンするときにアクセスできるネットワークリソースを指定します認可のデフォルト設定ではすべてのネットワークリソースへのアクセスを拒否しますデフォルトのグローバル設定を使し承認ポリシーを作成してユーザーがアクセスできるネットワークリソースを定義することをお勧めしますデフォルトの認可ポリシーを DENYに設定した場合はネットワークリソースへのアクセスを明的に許可する必要がありますこれによりセキュリティが向上します

4 プルダウンメニューの右側にあるボックスを選択し必要な Secure Browseを選択します

Citrix Workspaceアプリを使してユーザーが Citrix Gateway経由で iOSおよび Androidモバイルデバイスからネットワークリソースに接続できるようにしますセキュアなネットワーク内のリソースにアクセスするためにユーザは完全な VPNトンネルを確する必要はありません

5 プルダウンメニューの右側にあるボックスを選択しSmartgroup名をします

これはこのセッションアクションに関連付けられている sessionpolicy が成功したときにユーザーが配置されるグループですvpn セッションポリシーはポスト認証 EPA チェックをいチェックが成功した場合ユーザは Smartgroup で指定されたグループに配置されます次にis_member_of(httprequseris_member_of)式をポリシーとともに使してこのスマートグループに属するユーザーに EPAが渡されたかどうかを確認できます


7 Citrix NetScaler gtPoliciesgtSessionの順に選択します

8 [セッションポリシー] gt [追加]に移動します

9 このフィールドに「名前」をします

これはユーザーが Citrix Gatewayにログオンした後に適される新しいセッションポリシーの名前です

10 ドロップダウンメニューを使して「プロファイル」アクションを選択します

これはルール基準が満たされた場合に新しいセッションポリシーによって適されるアクションです

的のプロファイルを作成する必要がある場合は[+] を選択します詳細については「CitrixGatewayセッションプロファイルの作成」を参照してください


Citrix Gateway 130

11 このフィールドに「式」とします

このフィールドはポリシーに致するトラフィックを指定する名前付き式を定義します式はデフォルト構またはクラシック構のいずれかで記述できます式のリテラル字列の最は 255字ですい字列はそれぞれ 255字までのさな字列に分割できさい字列は +演算で連結されますたとえば500字の字列を作成できますrdquordquorsquo+rdquordquorsquo

以下の要件はCitrix ADC CLIにのみ適されます

式に 1つ以上のスペースが含まれる場合は式全体を重引符で囲みます式体に重引符が含まれている場合は字を使して引符をエスケープしますまた重引符を使してルールを囲むこともできますでは重引符をエスケープする必要はありません


13 セッションポリシーに移動します

14 セッションポリシーの名前を選択します




注新しいポリシーを作成するには[ +]を選択します詳細については「Citrix Gatewayセッションプロファイルの作成」を参照してください

18 リストから名前を選択しSelect (選択)ボタンを押します



21 チェックによって選択内容が [グローバルバインド]であることがされます

事前認証の設定

事前認証構成を設定するには次の順に従います

1［Citrix NetScalergtポリシー］gt［事前認証］の順に選択します

2 [事前認証プロファイル]タブを選択し[追加]を選択します

3 名前を



Citrix Gateway 130

注次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます

4 ドロップダウンメニューから「アクションのリクエスト」を選択しますこれは接続がポリシーと致したときにポリシーが呼び出すアクションです

注事前認証プロファイルを作成または作成する場合は[+]を選択します詳細については事前認証プロファイルの作成を参照してください

5 式を

これはCitrix ADC名前付きルールの名前またはポリシーに致する接続を定義するデフォルトの構式です


7 [事前認証ポリシー]タブに移動し的のポリシーを選択します


9「バインディングの追加」を選択します


[ + ]を選択して新しいポリシーを作成します詳細については「Citrix Gatewayセッションプロファイルの作成」を参照してください

11 [ポリシー]を選択します



14 このチェックでは事前認証ポリシーがグローバルにバインドされていることがされます

事前認証プロファイルの作成

1「名前」をします


以下の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます

2 ドロップダウンメニューから「アクション」をします

このオプションはエンドポイント分析 (EPA)の結果後にログオンを許可または拒否します

3 キャンセルするプロセス

このオプションはエンドポイント分析 (EPA)ツールによって終了される連のプロセスを指定します


Citrix Gateway 130

4 削除するファイル

このオプションはエンドポイント解析 (EPA)ツールによって削除するファイルのパスと名前を指定する字列を指定します

5 デフォルト EPAグループ

これはEPAチェックが成功したときに選択されるデフォルトのグループです




April 9 2020

Webベース認証を使する内部ネットワーク内のサーバーにシングルサインオンを提供するように Citrix Gatewayを構成できますシングルサインオンを使するとSharePointサイトやWeb InterfaceなどのカスタムホームページにユーザーをリダイレクトできますCitrix Gatewayプラグインを使してアクセスインターフェイスで構成されたブックマークやユーザーがWebブラウザでしたWebアドレスからリソースへのシングルサインオンを構成することもできます

アクセスインターフェイスを SharePointサイトまたはWeb Interfaceにリダイレクトする場合はサイトのWebアドレスを指定しますCitrix Gatewayまたは外部認証サーバーによってユーザーが認証されるとユーザーは指定されたホームページにリダイレクトされ動的にログオンしますユーザクレデンシャルはWebサーバに透過的に渡されますWebサーバーが資格情報を受けれるとユーザーは動的にログオンしますWebサーバがクレデンシャルを拒否するとユーザ名とパスワードを要求する認証プロンプトが表されます


スマートカードを使してWeb Interfaceへのシングルサインオンを構成することもできます詳しくは「スマートカードを使したWeb Interfaceへのシングルサインオンの構成」を参照してください

Citrix Gatewayは次のバージョンのWeb Interfaceで動作します

bull Web Interface 45bull Web Interface 50bull Web Interface 51bull Web Interface 52bull Web Interface 53bull Web Interface 54


Citrix Gateway 130

シングルサインオンを構成する前にWeb Interfaceがすでに構成されておりCitrix Gatewayで動作していることを確認してください



March 26 2020

シングルサインオンをグローバルに適するとすべてのWebアプリケーションセッションを Citrix Gatewayで認証するのではなくWebサービスで認証できるようになります


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 Citrix Gatewayのグローバル設定］ダイアログボックスの［クライアントエクスペリエンス］タブで［Webアプリケーションへのシングルサインオン］をクリックし［OK］をクリックします



March 26 2020


2 詳細ペインの [プロファイル]タブでポリシーを選択し[追加]をクリックします3 [セッションポリシーの構成]ダイアログボックスで[要求プロファイル]の横にある [変更]をクリックします

4 [セッションプロファイルの構成]ダイアログボックスの [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]の横にある [グローバルオーバーライド]をクリックし[ Webアプリケーションへのシングルサインオン]をクリックして[ OK ]をクリックします



Citrix Gateway 130


March 26 2020

シングルサインオンは宛先ポートが HTTPポートとなされるネットワークトラフィックに対してのみ試されますHTTPトラフィックにポート 80以外のポートを使するアプリケーションへのシングルサインオンを許可するにはCitrix Gatewayで 1つ以上のポート番号を追加します複数のポートを有効にできますポートはグローバルに設定します




4 [HTTPポート]にポート番号をし[追加]をクリックし[ OK ]をクリックします

注内部ネットワーク内のWebアプリケーションで異なるポート番号を使する場合はポート番号をして [追加]をクリックしますWeb InterfaceなどのWebアプリケーションへのシングルサインオンを許可するにはHTTPポート番号を定義する必要があります



March 26 2020

Web Interfaceをシングルサインオンに構成する場合は次のガイドラインに従ってください

bull 認証サービスの URLは httpsで始まる必要がありますbull Web Interface を実するサーバーはCitrix Gateway 証明書を信頼し証明書の完全修飾ドメイン名（FQDN）を仮想サーバーの IPアドレスに解決できる必要があります

bull Web InterfaceはCitrix Gateway仮想サーバーへの接続を開くことができる必要がありますこの的にはどの Citrix Gateway仮想サーバーでも使できますユーザーがログオンする仮想サーバーである必要はありません

bull Web Interfaceと Citrix Gatewayの間にファイアウォールがある場合ファイアウォールルールによってユーザーアクセスが妨げられWeb Interfaceへのシングルサインオンが無効になりますこの問題を回避するにはファイアウォールルールを緩和するかWeb Interfaceが接続できる別の仮想サーバーをCitrix Gateway上に作成します仮想サーバーには内部ネットワーク内の IPアドレスが必要ですWebInterfaceに接続する場合はセキュアポート 443を宛先ポートとして使します


Citrix Gateway 130

bull 仮想サーバーのプライベート証明機関 (CA)からの証明書を使している場合はMicrosoft管理コンソール(MMC)で証明書スナップインを使してWeb Interfaceを実しているサーバー上のローカルコンピュータの証明書ストアに CAルート証明書をインストールします

bull ユーザーがログオンしアクセス拒否のエラーメッセージが表される場合はWeb Interfaceイベントビューアで詳細を確認してください

bull 公開アプリケーションまたはデスクトップに正常に接続するにはCitrix Gateway で構成した SecureTicket Authority（STA）がWeb Interfaceで構成した STAと致している必要があります



March 26 2020

Web Interfaceのシングルサインオンを構成した後クライアントデバイスからWebブラウザを開き正常な接続をテストします

1 WebブラウザでhttpsNetScalerGatewayFQDNとしますNetScalerGatewayFQDNは仮想サーバーにバインドされた証明書内の完全修飾ドメイン名（FQDN）です

2 Active Directoryのドメインユーザーアカウントにログオンしますログオン時にWeb Interfaceにリダイレクトされます

アプリケーションは追加の認証なしで動的に表されますユーザーが公開アプリケーションを起動するとCitrix Workspaceアプリは Citrix Gatewayアプライアンスを介してファーム内のサーバーにトラフィックを転送します


スマートカードを使したWeb Interfaceへのシングルサインオンの構成

April 9 2020

ユーザーのログオンにスマートカードを使する場合はWeb Interfaceへのシングルサインオンを構成できますCitrix Gatewayで設定を構成しスマートカードでシングルサインオンを受けれるようにWeb Interfaceを構成しますシングルサインオンはパススルー認証とも呼ばれます

Web Interfaceバージョン 53および 54ではスマートカードを使したWeb InterfaceへのシングルサインオンがサポートされていますNetScalerバージョン 10で使可能な Citrix ADC上のWeb Interface機能を


Citrix Gateway 130

有効にするとスマートカードでシングルサインオンを使することもできますこの機能の設定について詳しくは「Citrix Gatewayを介したWeb Interfaceでのスマートカード認証の使」を参照してください

ユーザーは証明書の操作でユーザー名の抽出が SubjectAltName PrincipalNameである限りシングルサインオンが機能するために Active Directory内の複数の CNグループに属することができますパラメータ SubjectCNを使する場合ユーザーは複数の CNグループに属することはできません

スマートカードを使してWeb Interfaceにシングルサインオンするように Citrix Gatewayを構成するには次の操作をう必要があります

bull 認証局 (CA)からの署名付きサーバー証明書をインストールします詳しくは「Citrix Gatewayへの署名付き証明書のインストール」を参照してください

bull Citrix Gatewayとユーザーデバイスにルート証明書をインストールしますbull Web Interfaceのログオンポイントとして仮想サーバーを作成します仮想サーバーを構成するときはクライアント証明書の SSLパラメーターを [Optional]に設定する必要があります仮想サーバの設定の詳細については仮想サーバーの作成を参照してください

bull SSLパラメータでクライアント認証を無効にするセカンダリ仮想サーバを作成しますこの構成によりユーザーは個識別番号 (PIN)の次要求を受信できなくなります

bull クライアント証明書の認証ポリシーを作成します[ユーザー名フィールド]でサブジェクト AltNamePrincipalNameパラメータを使して複数のグループからユーザーを抽出します[グループ名]フィールドは空のままにします

bull Citrix Gatewayでセッションポリシーとプロファイルを作成しますセッションプロファイル内でICAプロキシを有効にしシングルサインオンに使するWeb Interfaceとドメインを指定します

スマートカードを使したシングルサインオンのセッションプロファイルを作成するには次の順に従います

スマートカードを使してシングルサインオンのセッションプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします

3 [クライアントエクスペリエンス]タブで[ホームページ]の横にある [グローバルに上書き]をクリックし[ホームページの表]をオフにします

1「Webアプリケーションへのシングルサインオン」の横にある「グローバルに上書き」をクリックし「Webアプリケーションへのシングルサインオン」をクリックします

2［Published Applications］タブをクリックします

3 ICAプロキシの横にある「グローバルオーバーライド」をクリックし「ON」を選択します

4 [Web Interfaceアドレス]で[グローバルに上書き]をクリックし完全修飾ドメイン名 (FQDN)またはWeb Interfaceをします

5［Single Sign-On Domain］で［グローバルに上書き］をクリックしドメイン名をします


Citrix Gateway 130

注 domaincomの形式ではなくドメインの形式を使する必要があります


セッションプロファイルを完了したらセッションポリシーを設定しそのプロファイルをポリシーの部として使しますその後セッションポリシーを仮想サーバにバインドできます


スマートカードを使してシングルサインオンにクライアント証明書を構成するには

March 26 2020

スマートカードを使してWeb Interfaceへのシングルサインオンを構成する場合は[仮想サーバー]ダイアログボックスの [証明書]で [クライアント認証]を選択しクライアント証明書を [オプション]として構成する必要があります[必須]を選択するとWeb Interfaceへのシングルサインオンは失敗します


2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 Citrix Gateway仮想サーバーの構成］ダイアログボックスの［証明書］タブで［SSLパラメータ］をクリックします

4 [SSLパラメータの構成]ダイアログボックスの [その他]で[クライアント認証]をクリックします5 [クライアント証明書]で [オプション]を選択し[OK]を 2回クリックします


Citrix Virtual Appsファイル共有のシングルサインオンを構成するには

March 26 2020

ユーザーが Citrix Virtual Appsを実しSmartAccessを使してサーバーに接続している場合はサーバーファームに接続するユーザーのシングルサインオンを構成できますセッションポリシーとプロファイルを使して公開アプリケーションへのアクセスを構成する場合はサーバーファームのドメイン名を使します



Citrix Gateway 130



4 [セッションプロファイルの構成]ダイアログボックスの [公開アプリケーション]タブの [シングルサインオンドメイン]で [グローバル上書き]をクリックしドメイン名をして [OK ]を 2回クリックします



March 26 2020

ファイルタイプの関連付けによりユーザーは Citrix Virtual Appsまたは Desktops 7で公開されたアプリケーションでドキュメントを開くことができますこの権限を使すると信頼された環境にあるサーバー上のドキュメントを開いたり編集したりドキュメントがユーザーデバイスに送信されないようにすることができますファイルタイプの関連付けは公開アプリケーションに関連付けられているドキュメントタイプに対してのみ使できますまたCitrix Gatewayで仮想サーバーのプロパティが正しく構成されている場合にのみ使できます

リソースドキュメントを編集するための唯の段としてファイルタイプの関連付けを提供することはユーザーデバイスではなくサーバー上で編集をう必要があるためセキュリティを強化するのに役ちますたとえば従業員が進中のプロジェクト会議のレポートを投稿するファイル共有に対してファイルの種類の関連付けを許可しダウンロードまたはアップロードをえるようにすることができます

ファイルタイプの関連付けをうには次のことが必要です

bull ユーザーはユーザーデバイス上で Citrix Workspaceアプリを実しますbull ユーザーはトラフィックポリシーがバインドされている仮想サーバーを介して接続しCitrix Virtual Appsのポリシーを構成します

bull ユーザーはCitrix Virtual Apps and Desktops 7で的のアプリケーションに割り当てられますbull 管理者はCitrix Gatewayと連携するように Citrix仮想アプリケーションを構成します

ファイルタイプの関連付けを作成する順は次のとおりです

bull Web Interfaceサイトを作成しますbull Citrix Gatewayでトラフィックポリシーを使してファイルタイプの関連付けを構成するbull Citrix Virtual Apps and Desktops 7でファイル拡張を定義する



Citrix Gateway 130


March 26 2020

ファイルの種類の関連付けを使するようにWeb Interfaceを構成するには最初にWeb Interfaceサイトを作成しますWeb Interfaceサイトは直接アクセス制御または度なアクセス制御にすることができますWebInterfaceサイトに次のディレクトリをコピーします

bull app_databull 認証bull サイト

これらのディレクトリをWeb Interfaceサイトにコピーすると既存のディレクトリが上書きされます

Web Interface 46または 50を使している場合はWeb Interfaceサイトディレクトリにwebconfigファイルを開き次のコードを追加しますこのコードはCitrixサポートサイト（httpsupportcitrixcomarticlectx116253）からダウンロードできます

1 pre codeblock2 ltlocation path=rdquositecontentLaunchicardquogt3 ltsystemwebgt4 lthttpHandlersgt5 ltadd verb=rdquordquo path=rdquoicardquo type=rdquoSystemWebUIPageHandlerFactoryrdquogt6 lthttpHandlersgt7 ltsystemwebgt8 ltlocationgt9 ltlocation path=rdquositecontentLaunchradrdquogt

10 ltsystemwebgt11 lthttpHandlersgt12 ltadd verb=rdquordquo path=rdquoradrdquo type=rdquoSystemWebUIPageHandlerFactoryrdquogt13 lthttpHandlersgt14 ltsystemwebgt15 ltlocationgt

このコードはwebconfigファイルの次のセクションの後に追加する必要があります

1 pre codeblock2 ltlocation path=rdquositelaunchradrdquogt3 ltsystemwebgt4 lthttpHandlersgt5 ltadd verb=rdquordquo path=rdquoradrdquo type=rdquoSystemWebUI

PageHandlerFactoryrdquogt6 lthttpHandlersgt7 ltsystemwebgt8 ltlocationgt


Citrix Gateway 130


ファイルタイプの関連付けのための Citrix Gatewayの構成

March 26 2020

Citrix Gatewayでファイルタイプの関連付けを構成する前にファイルタイプの関連付けを使するようにWebInterfaceサイトを構成しますWeb Interfaceを作成して構成したらCitrix Gatewayで設定を作成する必要があります順は次のとおりです

bull 新しい仮想サーバーを作成するか既存の仮想サーバーを使します仮想サーバの作成の詳細については仮想サーバーの作成を参照してください

bull Web Interfaceが設定された新しいセッションポリシーとプロファイルの作成bull 仮想サーバーへのセッションポリシーのバインドbull トラフィックポリシーの作成

セッションポリシーを作成して仮想サーバにバインドしたらトラフィックポリシーを作成し仮想サーバにバインドします

ファイルタイプの関連付けのトラフィックポリシーを設定する場合はファイル拡張を定義する式を作成しますたとえばMicrosoft Wordと Excelのファイルの種類の関連付けを有効にしたいとします式の例を次にします

REQHTTPURL == doc || REQHTTPURL == xls

ファイルタイプの関連付けのセッションポリシーとプロファイルを作成するには

1 構成ユーティリティで［構成］タブをクリックしナビゲーションペインで［Citrix Gateway］ gt［ポリシー］の順に展開し［セッション］をクリックします

2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [公開アプリケーション]タブで次の設定を構成します

a) [Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb InterfaceのWebアドレスをします

b) [Web Interface Portal Mode]の横にある [グローバルに上書き]をクリックし[標準]または [コンパクト]を選択します

c)［Single Sign-On Domain］の横にある［グローバルに上書き］をクリックしユーザーアカウントが存在するドメインの名前をして［作成］をクリックします


Citrix Gateway 130

7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [ True value ]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします

ファイルタイプの関連付けのトラフィックプロファイルを作成するには


2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をします4「ファイルタイプの関連付け」で「ON」を選択し「作成」をクリックしてから「閉じる」をクリックします

トラフィックポリシーでファイルタイプの関連付けを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4「要求プロファイル」でプロファイルを選択します5 [トラフィックポリシーの作成]ダイアログボックスの [式]で[度なフリーフォーム]を選択し[追加]をクリックします

6 [式の追加]ダイアログボックスで次の操作をいますa) [式の種類]で[般]をクリックしますb)「フローの種類」で「REQ」を選択しますc)「プロトコル」で「HTTP」を選択しますd)「修飾」で「URL」を選択しますe)「演算」で「= =」を選択しますf) [値]ボックスに「ファイル拡張の種類」としますファイル拡張の種類はdocやxlsなどのファイルの種類で[ OK]をクリックします

7 [トラフィックポリシーの作成]ダイアログボックスの [式]で[度なフリーフォーム]の横にある [ OR ]をクリックします

8 追加するファイル拡張ごとに順 456を繰り返し「作成」をクリックし「閉じる」をクリックします



March 26 2020


Citrix Gateway 130


注

Citrix Virtual Apps and Desktopsを Citrix Gatewayと統合する構成順についてはStoreFrontのドキュメントを参照してください


ユーザーはCitrix Gatewayを使してログオンおよび認証をいますCitrix GatewayはDMZで展開およびセキュリティ保護されます2要素認証が構成されますユーザーの資格情報に基づいてユーザーに該当のリソースおよびアプリケーションが提供されますアプリケーションとデータは適切なサーバー上に存在します（図には表されていません）セキュリティ上機微なアプリケーションとデータについては別のサーバーが使されます


Citrix Gatewayと StoreFrontの統合

March 26 2020

Citrix Virtual Apps and Desktopsウィザードを使してStoreFrontと Citrix Gatewayを統合しますこの統合によりCitrix Gatewayを介してホストされた仮想デスクトップ（XenDesktop）およびホストされたWindows仮想アプリケーション（XenApp）へのアクセスが容易になります

Storefrontと Citrix Gatewayをシームレスに統合するためにCitrix Virtual Apps and Desktopsウィザードのワークフローが次の機能で強化されました

bull サポートされている StoreFrontで構成されたストアの取得サポートされている Store Frontで構成されたストアをクリックするだけで取得できますこれにより作業による介を避けるため為的なミス（タイプミス）を避けることができます

bull StoreFront構成ファイルのエクスポートサポートStoreFront構成ファイルは Citrix Gatewayでエクスポートできますこのファイルはサポートされている StoreFrontサーバーにダウンロードしてインポートできますファイルがインポートされるとNetScalerの統合が完了します

bull 認証サーバーとしての StoreFront認証サービスの認証サーバーとして StoreFrontを使する度な認証アクションを導することで認証が簡略化されます

注認証サーバーはCitrix Virtual Apps and Desktops以外の展開にも使できます


Citrix Gateway 130

StoreFrontで使するように Citrix Gatewayを構成する法

前提条件

NetScalerを StoreFrontと統合するには次の情報が必要です

bull Citrix Gateway仮想サーバーの IPアドレスbull StoreFrontサーバーの完全修飾ドメイン名（FQDN）bull Citrix Gatewayのサーバー証明書bull 認証サーバの詳細

以下についても確認してください

bull Citrix Gatewayと StoreFront間のファイアウォールポートが開いているbull StoreFrontに LANアクセス可能

Citrix GatewayGUIを使して StoreFrontと Citrix Gatewayを統合するには

1［構成］gt［Citrix Virtual Apps and Desktops］に移動します

2 [はじめに]をクリックします

3「StoreFront」を選択し「続」をクリックします

4［Citrix Gateway］エリアで次のフィールドに値をし［続］をクリックします

bull Gatewayの完全修飾ドメイン名mdash Citrix Gatewayの完全修飾ドメイン名bull GatewayIPアドレスmdash Citrix Gatewayの IPアドレスbull ポートmdash Citrix Gatewayのポート

5 [サーバー証明書]領域に次のファイルをインポートし[続]をクリックします証明書ファイル -CitrixGatewayのサーバー証明書

6 StoreFront領域に次の情報をし「続」をクリックします

bull StoreFront URL mdash StoreFrontサーバーの URL

bull Receiver for Webパス -StoreFrontで既に構成されているWebサイトへのパス

bull デフォルトの Active Directoryドメイン -内部ネットワークのシングルサインオンアプリケーションに使されるシングルサインオンドメイン

bull Secure Ticket Authority URL mdash Secure Ticket Authority URLこれは通常配信 Controller上に存在します

注「ストアの取得」Citrix Gatewayが StoreFrontに接続しStoreFrontで構成されているすべてのストア情報を返します次にドロップダウンメニューから [優先するストア]を選択します「ストアの取得」オプションは最新の StoreFrontサーバーでのみ機能します


Citrix Gateway 130

7 新しい認証設定ではユーザーは新しい認証ポリシーを作成するか既存の認証ポリシーを使できます

新しいドメインベース認証ポリシーを作成するにはの次のフィールドに値をし[ Continue]をクリックします

8 ドロップダウンメニューから認証タイプ -ドメインの選択を選択します

9 [新しいサーバーの追加]または [要件に基づいて既存のサーバーを使する]を選択します

bull IPアドレスドメインサーバの IPアドレスbull ポートドメインサーバのポートbull ベース DN -ユーザーが配置されるベース DNbull サービスアカウント -Active Directoryのクエリに使するアカウントbull パスワード -ドメインサーバへのログオンに必要なパスワードbull タイムアウトドメインディレクトリが検索される期間bull サーバーのログオン名属性 -NetScaler アプライアンスが外部ドメインサーバーまたは Active

Directoryを照会するために使する名前属性

オプションで [接続のテスト]をクリックするとサーバが到達可能であり有効な資格情報が提供されていることを確認できます

注既存の認証ポリシーを使するには「認証タイプの選択」ドロップダウンから必要な認証タイプを選択し上記の情報をします

10［Citrix Gatewayの設定］ページで［完了］をクリックします

11 [ファイルのダウンロード]をクリックします

StoreFront GUIで必要な構成順は次のとおりです

1 Gateway構成のzipファイルを StoreFrontにコピーします2 [ストア]をクリックします3［Citrix Gatewayの管理］を選択し［Citrix Gatewayの管理］ウィンドウで［ファイルからインポート］リンクをクリックします

4 [ NetScaler構成のインポート]ウィンドウの [ファイルの選択]領域で[次へ]をクリックします5［ログオンタイプの選択］領域でオプションで StoreFrontが Citrix Gatewayに接続するためのコールバック URLを指定し［次へ］をクリックします

6「チケット認証局」で「次へ」をクリックします7 [変更の確認]で[次へ]をクリックします8［完了］をクリックします



Citrix Gateway 130

Citrix Endpoint Management環境の設定の構成

April 9 2020

Citrix Endpoint Management Citrix ADCウィザードの指に従ってCitrix Endpoint Management展開の Citrix ADC機能の構成をいますこのウィザードを使すると次の操作を実できます

bull マイクロ VPNを設定しますこのシナリオではリモートユーザーは内部ネットワークのアプリやデスクトップにアクセスできます

ndash Citrix Endpoint Management MAM専モードでは認証に Citrix Gatewayを使する必要があります

ndash MDMの展開ではモバイルデバイス VPNとして Citrix Gatewayをお勧めします

ndash ENT展開ではユーザーがMDM登録をオプトアウトするとデバイスは従来のMAMモードで動作しCitrix Gatewayの FQDNを使して登録されます

bull 証明書ベースの認証を構成しますCitrix Endpoint Managementデフォルト構成はユーザー名とパスワード認証ですCitrix Endpoint Management環境への登録とアクセスのセキュリティをさらに強化するには証明書ベースの認証の使を検討してください

bull Citrix Endpoint Managementサーバーの負荷を分散しますCitrix ADCの負荷分散は複数の CitrixEndpoint Managementサーバーがある場合または Citrix Endpoint Managementが DMZまたは内部ネットワーク内にある場合（したがってデバイスから Citrix ADCにトラフィックが流れる）すべてのCitrix Endpoint Managementデバイスモードに必要ですこのシナリオではCitrix ADCアプライアンスはユーザーデバイスと Citrix Endpoint Managementサーバー間の DMZに存在しモバイルデバイスから Citrix Endpoint Managementサーバーに暗号化された送信データを負荷分散します

bull メールフィルタリング機能を備えたMicrosoft Exchangeサーバの負荷を分散しますこのシナリオではCitrix ADCアプライアンスはユーザーデバイスと Citrix Endpoint Management Citrix ADCコネクタ（XNC）との間およびユーザーデバイスとMicrosoft Exchange CASサーバーの間にありますユーザーデバイスからの要求はすべて Citrix Gatewayアプライアンスに送信されXNCと通信してデバイスに関する情報を取得しますXNCからの応答に応じてCitrix ADCアプライアンスはホワイトリストに登録されたデバイスから内部ネットワークのサーバーに要求を転送するかブラックリストに登録されたデバイスからの接続を切断します

bull 要求されたコンテンツの種類に基づいてShareFileストレージゾーンコネクタのロードバランシングをいますこのシナリオではStorageZones Controller環境に関する基本情報のを求められ次の処理をう構成が成されます

ndash ストレージゾーンコントローラ間でトラフィックのロードバランシングをいますndash ストレージゾーンコネクタのユーザー認証を提供しますndash ShareFileアップロードとダウンロードの URI署名を検証しますndash Citrix ADCアプライアンスで SSL接続を終了します


Citrix Gateway 130

ShareFileの構成について詳しくは「StorageZones Controllerの Citrix ADC構成」を参照してください

重要

Citrix Endpoint Managementウィザードを使する前に以下の Citrix Endpoint Managementの展開に関する記事を参照して設計と展開に関する情報と推奨事項を確認してください

Citrix Endpoint Management統合

Citrix Gatewayおよび Citrix ADCとの統合

MDXアプリの SSOとプロキシの考慮事項

認証

Citrix Endpoint Management Citrix ADCウィザードは1回だけ使できますテスト環境開発環境実稼働環境など複数の Citrix Endpoint Managementインスタンスが必要な場合は追加の環境にCitrix ADCを動で構成する必要があります以下のサポート記事ではウィザードで実されるコマンドの覧とそれらのコマンドを実して新しい Citrix ADCインスタンスを作成する法を説明します

Citrix ADC-SSLブリッジで Citrix Endpoint Managementウィザードによって成されるコマンド

Citrix ADC-SSLオフロードで Citrix Endpoint Managementウィザードによって成されるコマンド

Citrix ADC機能のライセンス要件

以下の Citrix ADC機能を有効にするにはライセンスをインストールする必要があります

bull Citrix Endpoint Management MDM負荷分散にはCitrix ADC標準ライセンスが必要ですbull ストレージゾーンを使した ShareFile負荷分散にはCitrix ADC標準ライセンスが必要ですbull Exchangeの負荷分散にはCitrix ADCライセンスまたは統合キャッシュライセンスを追加した Advancedライセンスが必要です

Citrix Endpoint Managementウィザード Citrix ADCウィザード

このセクションではCitrix ADC for Citrix Endpoint Managementウィザードを使して以下の操作をう例をします

bull 内部ネットワーク内の Citrix Endpoint Managementで管理されるリソースへのリモートユーザー接続のマイクロ VPNアクセスをセットアップする

bull 証明書ベースの認証を構成しますパブリック SSL証明書の取得とインストールについては「証明書のインストールと管理」を参照してください

bull Citrix Endpoint Managementサーバーの負荷分散を構成します

ウィザードを使するには次の順に従います

1 構成ユーティリティで［構成］タブをクリックし［Citrix Endpoint Management］をクリックします


Citrix Gateway 130

2 Citrix Endpoint Managementのバージョンを選択し［開始］をクリックします

3 設定する機能のチェックボックスをオンにしますこのウィザードは 1 回だけ使できるため以降の構成を動で実する必要がありますこれらの順は次の設定を選択することを前提としていますCitrix Gateway 経由のアクセス（ENT モードまたは MAM モードで実されている Citrix EndpointManagement）負荷分散 Citrix Endpoint Managementサーバー

4 Citrix Gateway設定ページで外部の Citrix Gatewayの IPアドレスポート仮想サーバー名の値をします

5 Citrix Gatewayのサーバー証明書］ページの［証明書ファイル］ドロップダウンメニューから［ローカル］または［アプライアンス］から証明書ファイルを選択します証明書がローカルマシン上にある場合

証明書がアプライアンス上にある場合

6 [認証設定]ページの [プライマリ認証法]フィールドで[クライアント証明書]を選択します

これによって次の 2つのフィールドで動的に［Use existing certificate policy］および［Cert Auth］を選択します次の順では証明書ポリシーがすでにあることを前提しています

証明書を作成する必要がある場合［Create certificate policy］をクリックして設定を完了します［Citrix Endpoint Management証明書］画で既存のサーバー証明書を選択するか新しい証明書をインストールします複数の Citrix Endpoint Managementサーバーを実している場合はそれぞれに証明書を追加します[サーバーログオン名の属性]で要件に応じてユーザープリンシパル名またはsamAccountNameを指定します

bull a[ここをクリックして CA証明書を変更してください]を選択し[参照]ボックスの覧で的の CA証明書に移動します

bull b プライマリ認証タイプとしてクライアント証明書を使する場合セカンダリ認証タイプとしてLDPA（または RADIUS）を設定できます

クライアント証明書認証のみを使するには[ 2番の認証法]を [なし]のままにして[続]をクリックします

クライアント証明書 +ドメイン (LDAP)認証を使するには[ 2番の認証法]を [ LDAP ]に変更し認証サーバーの設定を構成します

bull c ［デバイス証明書］画で証明書がまだインストールされていない場合はCitrix EndpointManagementコンソールからこの証明書をエクスポートする必要がありますコンソールで右上隅にある歯アイコンをクリックして［設定］画を開きます

bull d [証明書]をクリックし覧から CA証明書を選択します

bull e［エクスポート］をクリックします

bull f Citrix ADCウィザードに戻りエクスポートした（ダウンロードした）証明書を選択してインストールします


Citrix Gateway 130

bull g［続］をクリックします

設定した Citrix Endpoint Management IPアドレスが表されます

7 Citrix Endpoint Managementアプリケーションの管理設定を構成します

bull Citrix EndpointManagementの FQDNをしますこれはMAMのロードバランシング FQDNです

bull Citrix Endpoint Managementサーバーの負荷分散をう仮想サーバーのMAM専内部負荷分散IPアドレスをしますCitrix GatewayはこのMAM負荷分散仮想 IPを介して Citrix EndpointManagementと通信します

bull これは SSLオフロード展開であるため［Citrix Endpoint Managementサーバーとの通信］で［HTTP］を選択します

bull MicroVPNフィールドのスプリット DNSモードは動的に両に設定されます

展開で分割トンネリングが必要な場合は[分割トンネリングを有効にする]を選択します次に分割トンネリングを有効にする場合はイントラネットアプリケーションバインディングを設定する必要があります

デフォルトではSecure Webアクセスは内部ネットワークにトンネリングされますつまりSecure Webはすべてのネットワークアクセスに対してアプリケーションごとの VPNトンネルを内部ネットワークに戻しCitrix ADCアプライアンスは分割トンネル設定を使します

8 Citrix Gatewayでユーザー接続の傍受ルールを構成するにはイントラネットアプリケーションのバインドを構成する必要がありますバインドを追加するには[ + ]をクリックします

9 ネットワークアクセスを許可するためのパラメータをし[ Create]をクリックします

10 Citrix Endpoint Management証明書を追加しますこれはMAM負荷分散仮想サーバーに使されます

11［Citrix Endpoint Managementサーバー］で［サーバーの追加］をクリックして負荷分散仮想 IPにバインドする Citrix Endpoint ManagementIPアドレスを追加します

12 Citrix ADCダッシュボードでCitrix Gatewayと Citrix Endpoint Management負荷分散が次のように構成されていることを確認します

ユーザープリンシパル名 (UPN)の代わりとしてユーザー証明書で sAMAccount属性を使する場合はの説明に従って証明書プロファイルを構成クライアント証明書認証のための Citrix Gatewayの動構成します


Citrix Endpoint Managementまたは Citrix XenMobileサーバーの負荷分散サーバーの構成

March 26 2020


Citrix Gateway 130

Citrix Endpoint Management Citrix ADCウィザードを使して初期セットアップした後このセクションで説明するようにCitrix Gateway構成ユーティリティを使して負荷分散を構成しますCitrix EndpointManagementの場合はSSLオフロードを使しますCitrix Endpoint Management Serverの場合は『CitrixGatewayおよび Citrix ADCとの統合』の「展開の概要」の下にある負荷分散モードに関する推奨事項を参照してください

Citrix ADC VIPで SSLブリッジモードを使するには

Citrix Endpoint Managementが DMZにある場合はSSLブリッジモードを使しますSSLブリッジモードで Citrix ADC VIPを使して Citrix Endpoint Managementを負荷分散するとインターネットトラフィックはCitrix Endpoint Managementサーバーに直接流れそこで接続が終了しますSSLブリッジモードはセットアップとトラブルシューティングが最も簡単なモードです

1 SSLブリッジモードを構成する前にCitrix Endpoint Managementアプリケーション管理設定に移動しCitrix Endpoint Managementサーバーとの通信がHTTPSであることを確認します

2 構成ユーティリティにログオンした後[ホーム]タブのMDMサーバー LBで[構成]をクリックします




6 設定が正しいことを確認し[完了]をクリックします


Citrix ADC VIPで SSLオフロードモードを使するには

Citrix Endpoint Managementには SSLオフロードを使しますまたセキュリティ基準を満たすために必要な場合はオンプレミスの Citrix Endpoint Managementが内部ネットワークにある場合はSSLオフロードを使しますSSLオフロードモードで Citrix ADC VIPを使して Citrix Endpoint Managementを負荷分散するとインターネットトラフィックは Citrix ADCアプライアンスに直接流れそこで接続が終了しますその後CitrixGatewayはアプライアンスから Citrix Endpoint Managementへの新しいセッションを確しますSSLオフロードモードでのセットアップとトラブルシューティングはさらに複雑です

1 SSLオフロードモードを構成する前に［Citrix Endpoint Managementアプリケーション管理設定］に移動し［Citrix Endpoint Managementサーバーとの通信］が［HTTP］であることを確認します

2 構成ユーティリティにログオンします[ホーム]タブの [ MDMサーバー LB ]で[構成]をクリックします




Citrix Gateway 130


6 設定を確認し[完了]をクリックします

7 サーバ証明書を追加するかどうかを確認するメッセージが表されたらサーバ証明書を選択し[Continue]をクリックします

8 CA証明書を指定し[続]をクリックします

9 同じ Citrix Endpoint Management IPアドレスを使します［完了］をクリックします



電メールセキュリティフィルタリングを使したMicrosoft Exchangeのロードバランシングサーバーの構成

March 26 2020

1 [ホーム]タブの [ MDMサーバー LB ]で[構成]をクリックします

2 [ Exchange CAS LB仮想サーバー]の [名前]にサーバーの名前をします

3 [ IPアドレス]に仮想サーバーの IPアドレスをします

4［Port］ボックスにポート番号をしますさらにポートを追加するにはプラス記号 (+)をクリックしポート番号をします


6 [証明書]で既存の証明書を選択するかコンピュータ（ローカル）または Citrix ADCアプライアンス（アプライアンス）にインストールします


8 [ Exchange CASサービスインスタンス]で仮想サーバーの名前IPアドレスポート番号をします次に[追加して続]をクリックします

［完了］をクリックするとCitrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSyncフィルタリングを構成するためのフィールドが表されます



Citrix Gateway 130

Citrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSyncフィルタリングの構成

March 26 2020

Citrix Endpoint Management Citrix ADCコネクタ（XNC）はExchange ActiveSyncプロトコルのリバースプロキシとして機能する Citrix ADCに対してActiveSyncクライアントのデバイスレベルの認証サービスを提供します認証はCitrix Endpoint Management内で定義されたポリシーとXNCによってローカルに定義されたルールの組み合わせによって制御されます

1［Citrix Endpoint Management］［Citrix ADCコネクタ（XNC）ActiveSyncフィルタリング］で［コールアウトプロトコル］で［http］または［https］を選択します

2 [ XNC IPアドレス]にCitrix Endpoint Managementの Citrix ADCコネクタの IPアドレスをします

3 [ポート]でHTTPネットワークトラフィックの場合は 9080HTTPSネットワークトラフィックの場合は9443とし[続]をクリックします

設定が表されます


Citrixモバイル産性アプリを使したモバイルデバイスからのアクセスの許可

April 9 2020

Citrix ADC for XenMobileウィザードではサポートされているデバイスから Citrix Gateway経由で内部ネットワークのモバイルアプリやリソースに接続するために必要な設定を構成しますユーザーはSecure Hub（以前はWorx Home）を使して接続しMicro VPNトンネルを確しますユーザーが接続するとVPNトンネルがCitrix Gatewayに開き内部ネットワークの XenMobileに渡されますユーザーはXenMobileからWebモバイルおよび SaaSアプリケーションにアクセスできます

複数のデバイスで Citrix Gatewayに同時に接続するときにユーザーが単のユニバーサルライセンスを使できるようにするには仮想サーバーでセッション転送を有効にします詳しくは「仮想サーバでの接続タイプの設定」を参照してください

Citrix ADC for XenMobileウィザードを使した後に構成を変更する必要がある場合はこの記事のセクションを参照してください設定を変更する前に変更の影響を理解しておいてください詳細についてはXenMobileの展開記事を参照してください


Citrix Gateway 130

Citrix Gatewayでの Secure Browse構成

Secure Browseはグローバル設定の部としてまたはセッションプロファイルの部として変更できますセッションポリシーはユーザーグループまたは仮想サーバーにバインドできますSecure Browseを設定する場合はクライアントレスアクセスも有効にする必要がありますただしクライアントレスアクセスではSecureBrowseを有効にする必要はありませんクライアントレスアクセスを設定する場合は[クライアントレスアクセスURLエンコーディング]を [クリア]に設定します

Secure Browseをグローバルに構成するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバルCitrix Gateway設定］ダイアログボックスの［セキュリティ］タブで［セキュリティで Secure

Browseをクリックし［OK］をクリックします

セッションポリシーおよびプロファイルで Secure Browseを構成するには


2 詳細ウィンドウで次のいずれかの操作をいますbull 新しいセッションポリシーを作成する場合は[ Add]をクリックしますbull 既存のポリシーを変更する場合はポリシーを選択して [開く]をクリックします

3 ポリシーで新しいプロファイルを作成するか既存のプロファイルを変更しますこれをうには次のいずれかの操作をいます


4 [セキュリティ]タブの [セキュリティで Secure Browse ]の横にある [グローバルに上書き]をクリックし[セキュリティで保護された参照]を選択します

5 次のいずれかをいますbull 新しいプロファイルを作成する場合は[ Create]をクリックしポリシーダイアログボックスで式を設定し[ Create]をクリックして[ Close]をクリックします

bull 既存のプロファイルを修正する場合は選択後に [ OK ]を 2回クリックします

セキュア Secure Browseモードで Secure Webのトラフィックポリシーを設定するには

次の順に従ってSecure Webトラフィックをセキュア Secure Browseモードでプロキシサーバー経由でルーティングするトラフィックポリシーを設定します

1 構成ユーティリティの [構成]タブで[ Citrix Gateway] gt [ポリシー]を展開し[トラフィック]をクリックします

2 右ペインで[ Traffic Profiles ]タブをクリックし[ Add ]をクリックします

3 [名前]にプロファイルの名前をし[プロトコル]として [ TCP]を選択し残りの設定はそのままにします


Citrix Gateway 130



6 [名前]にプロファイルの名前をし[プロトコル]として [ HTTP]を選択しますこのトラフィックプロファイルはHTTPと SSLの両ですCVPNトラフィックは宛先ポートまたはサービスタイプに関係なく設計上HTTPトラフィックですしたがってトラフィックプロファイルで SSLトラフィックと HTTPトラフィックの両をHTTPとして指定します

7「プロキシ」にプロキシサーバーの IPアドレスをします「ポート」にプロキシサーバーのポート番号をします



10 トラフィックポリシーの名前をし[ Request Profile ]でステップ 3で作成したトラフィックプロファイルを選択します次の式をし[作成]をクリックします

REQHTTPHEADERHOSTに Ac-tiveSync-Serverが含まれています

REQHTTPHEADERUser-AgentCON-TAINSWorx-Mail

REQHTTPHEADERUser-AgentCON-TAINScomzenprise

REQHTTPHEADERUser-AgentCON-TAINSWorx-Home

REQHTTPURLCON-TAINSAGSer-vices

REQHTTPURLCON-TAINSStoreWeb

このルールはホストヘッダーに基づいてチェックを実しますプロキシからのアクティブ同期トラフィックをバイパスするにはActiveSyncServerを適切な ActiveSync cサーバー名に置き換えます

11 [トラフィックプロファイル]タブをクリックし[追加]をクリックしますトラフィックポリシーの名前をし[ Request Profile ]でステップ 6で作成したトラフィックプロファイルを選択します次の式をし[作成]をクリックします




12 [トラフィックプロファイル]タブをクリックし[追加]をクリックしますトラフィックポリシーの名前を


Citrix Gateway 130

し[ Request Profile ]でステップ 6で作成したトラフィックプロファイルを選択します次の式をし[作成]をクリックします




13［Citrix Gateway］gt［仮想サーバー］に移動し右側のペインで仮想サーバーを選択し［編集］をクリックします

14 [ポリシー]で[ + ]をクリックします

15 [ポリシーの選択]メニューから[トラフィック]を選択します


17 [ポリシーのバインド]の [ポリシーの選択]で[ gt]をクリックします
















Citrix Gateway 130

XenMobileコンソールで Secure Web（WorxWeb）アプリを構成してください[設定] gt [アプリ]に移動し[Secure Webアプリ]を選択し[編集]をクリックして次の変更をいます

bull [アプリの情報]ページで[初期 VPNモード]を [Secure Browseに変更しますbull [ iOS ]ページで[初期 VPNモード]を [ Secure Browse]に変更しますbull [ Android ]ページで[優先 VPNモード]を [ Secure Browse]に変更します

アプリケーションおよびMDXトークンのタイムアウトの構成

ユーザーが iOSまたは AndroidデバイスからログオンするとアプリケーショントークンまたはMDXトークンが発されますトークンはSecure Ticket Authority（STA）に似ています

トークンがアクティブになる秒数または分数を設定できますトークンの有効期限が切れた場合ユーザーはアプリケーションやWebページなどの要求されたリソースにアクセスできません

トークンのタイムアウトはグローバル設定ですこの設定を構成するとCitrix Gatewayにログオンするすべてのユーザーに適されます


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3［グローバル Citrix Gateway設定］ダイアログボックスの［クライアントエクスペリエンス］タブで［詳細設定］をクリックします

4 [全般]タブの [アプリケーショントークンのタイムアウト (秒) ]にトークンの有効期限が切れるまでの秒数をしますデフォルトは 100秒です

5 [ MDXトークンのタイムアウト (分)]にトークンの有効期限が切れるまでの分数をし[ OK]をクリックしますデフォルトは 10分です

モバイルデバイスのエンドポイント分析の無効化

エンドポイント分析を設定する場合はエンドポイント分析スキャンが Androidまたは iOSモバイルデバイスで実されないようにポリシー式を設定する必要がありますエンドポイント分析スキャンはモバイルデバイスではサポートされていません

エンドポイント分析ポリシーを仮想サーバーにバインドする場合はモバイルデバイスのセカンダリ仮想サーバーを作成する必要があります事前認証または認証後のポリシーはモバイルデバイスの仮想サーバーにバインドしないでください

事前認証ポリシーでポリシー式を設定する場合はユーザーエージェント字列を追加して Androidまたは iOSを除外しますユーザーがこれらのデバイスのいずれかからログオンしデバイスタイプを除外するとエンドポイント分析は実されません


Citrix Gateway 130

たとえばユーザーエージェントに Androidが含まれているかどうかアプリケーション virusexeが存在しない場合および事前認証プロファイルを使して実されている場合 keyloggerexeプロセスを終了するには次のポリシー式を作成しますポリシー表現は次のようになります

REQHTTPHEADERUser-Agent NOTCONTAINSAndroid ampampCLIENTAPPLICATIONPROCESS(keyloggerexe)に含まれる

CLIENTAPPLICATIONPROCESS(virusexe)に含まれる

事前認証ポリシーとプロファイルを作成したらポリシーを仮想サーバーにバインドしますユーザーが Androidまたは iOSデバイスからログオンするとスキャンは実されませんユーザーがWindowsベースのデバイスからログオンするとスキャンが実されます

事前認証ポリシーの構成について詳しくは「エンドポイントポリシーの設定」を参照してください

Androidデバイスで DNSサフィックスを使した DNSクエリのサポート

ユーザーが AndroidデバイスからMicro VPN接続を確するとCitrix Gatewayはスプリット DNS設定をユーザーデバイスに送信しますCitrix Gatewayでは構成したスプリット DNS設定に基づいてスプリット DNSクエリがサポートされますCitrix Gatewayではアプライアンス上で構成した DNSサフィックスに基づいたスプリット DNSクエリもサポートできますユーザーが Androidデバイスから接続する場合はCitrix Gatewayで DNS設定を構成する必要があります

スプリット DNSは次のように動作します

bull スプリット DNSを [ローカル]に設定するとAndroidデバイスはすべての DNS要求をローカル DNSサーバーに送信します

bull スプリット DNSをリモートに設定するとすべてのDNS要求が Citrix Gateway（リモート DNSサーバー）で構成された DNSサーバーに送信され解決されます

bull スプリット DNSを [両]に設定するとAndroidデバイスは DNS要求の種類をチェックしますndash DNS要求の種類が「A」でない場合はDNS要求パケットをローカルおよびリモートの DNSサーバーに送信します

ndash DNSリクエストタイプが「A」の場合Androidプラグインはクエリ FQDNを抽出しその FQDNをCitrix ADCで設定された DNSサフィックスリストと照合しますDNS要求の FQDNが致するとDNS要求がリモート DNSサーバーに送信されますFQDNが致しない場合DNS要求はローカルDNSサーバーに送信されます

次の表はタイプ Aのレコードとサフィックス覧に基づく分割 DNSの動作をまとめたものです


Citrix Gateway 130

スプリット DNS設定それはタイプ Aレコードですか

接尾辞リストに載っていますか

DNS要求が送信される場所

Local [はい]または [いいえ]の両


Local

Remote [はい]または [いいえ]の両


Remote

Both いいえ - Both

Both はいはい Remote

Both はいいいえ Local

DNSサフィックスを構成するには次の順を実します



Citrix Gatewayでスプリット DNSをグローバルに設定するには


2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [全般]タブの [スプリット DNS ]で[両][リモート]または [ローカル]を選択し[ OK ]をクリックします

Citrix Gatewayのセッションポリシーでスプリット DNSを構成するには


2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします7 [全般]タブの [スプリット DNS ]の横にある [グローバル上書き]をクリックし[両][リモート]または [ローカル]を選択して[ OK ]をクリックします


Citrix Gateway 130

8 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [ 全般][ True ][式の追加 ][作成][閉じる]の順にクリックします


Citrix Endpoint Managementのためのドメインおよびセキュリティトークン認証の構成

April 9 2020

RADIUSプロトコルを使してLDAP資格情報およびワンタイムパスワードによる認証をユーザーに要求するようにCitrix Endpoint Managementを構成できますこのセクションではその 2要素認証タイプに必要な CitrixGateway構成について説明します

前提条件

Citrix Endpoint Management Citrix ADCウィザードをまだ実していない場合はCitrix Endpoint Man-agement環境の設定の構成の Citrix Endpoint Managementウィザードの Citrix ADCセクションを参照してくださいCitrix ADC構成に以下が含まれていることを確認します

bull LDAPポート番号 = 636（セキュアLDAP接続のデフォルトポート）bull サーバーログオン名属性 = samAccountNameまたはユーザーの要件に従ってユーザープリンシパル名

ドメイン認証とセキュリティトークン認証を構成するには

1 Citrix Gateway gt［仮想サーバー］の順に選択します仮想サーバを選択し[ Edit]をクリックします

2 [ CA証明書なし]をクリックします

3「CA証明書の選択」で証明書を選択し「OK」「バインド」「完了」の順にクリックします

4 [ポリシー] gt [セッション] gt [セッションプロファイル]に移動しAC_OSで始まるプロファイルを選択して[編集]をクリックします

5 [クライアントエクスペリエンス]タブをクリックしページの下部に移動します

6「認証情報インデックス」から「SECONDARY」を選択します


8 [ポリシー] gt [認証] gt [LDAP]に移動し[ LDAPポリシー]タブをクリックして [編集]をクリックします


Citrix Gateway 130

9 Citrix Endpoint Managementと Citrix Endpoint Managementおよび Citrix Virtual Apps and Desk-topsに個別の Citrix Gateway VIPを使するにはExpressionで NS_TRUEを次のように置き換えます

REQHTTPHEADER User-Agent CONTAINS CitrixReceiver

10 [ポリシー] gt [認証] gt [RADIUS ]に移動し[サーバー]タブをクリックします

11 [追加]をクリックしRadiusサーバの詳細をして[作成]をクリックします


13 ポリシーの名前をします[サーバー]ドロップダウンメニューからRadiusサーバー名 (この例ではRadius_Server )を選択します

14 [式]に「REQHTTPHEADERユーザーエージェントが Citrix Receiverを含む」とし[作成]をクリックします


16 [プライマリ認証]で[ LDAPポリシー]をクリックします

17 ポリシーを選択し[バインド解除]をクリックして[閉じる]をクリックします

18 [認証]で[ + ]をクリックして Radius認証を追加します

19 [タイプの選択]で[ポリシーの選択]から [ RADIUS]を選択します


21 前に作成した Radius認証ポリシーを選択し[ Insert]をクリックします


23 LDAPをセカンダリ認証ポリシーとして追加するには[認証]で [ + ]をクリックします

24「ポリシーの選択」から「LDAP」を選択します

25「タイプの選択」から「セカンダリ」を選択します

26「ポリシーの選択」からLDAPポリシーを選択します

27 ポリシーを選択し[ OK]をクリックします



30 作成したポリシーの優先順位が最もいことを確認しますこれによりモバイル以外のユーザーに対して追加のポリシーが追加された場合でもユーザーの優先順位が最もくなります詳細については「認証ポリシーの優先順位の設定」を参照してください



Citrix Gateway 130


March 26 2020

Citrix ADC for Citrix Endpoint Managementウィザードを使してCitrix ADC証明書のみの認証または証明書とドメイン認証を使する場合にCitrix Endpoint Management に必要な構成を実できますCitrixEndpoint Management Citrix ADCウィザードは1回だけ実できます作成ウィザードの使について詳しくは「Citrix Endpoint Management環境の設定の構成」を参照してください）

ウィザードを既に使している場合はこの記事の順に従ってクライアント証明書の認証またはクライアント証明書とドメイン認証に必要な追加構成をいます

MAM専モードのデバイスのユーザーがデバイス上の既存の証明書を使して認証できないようにするにはこの記事の後半の「Citrix ADC証明書失効リスト（CRL）」を参照してください

クライアント証明書認証のための Citrix Gatewayの動構成

1 [トラフィック管理] gt [負荷分散] gt [仮想サーバー]で各仮想サーバー (443と 8443の両)に移動しSSLパラメーターを更新し[セッション再利の有効化]を [DISABLED]に設定します

2 Citrix Gateway仮想サーバーで「クライアント認証を有効にする」-gt「クライアント証明書」で「クライアント認証」を選択し「クライアント証明書」で「必須」を選択します

3 認証証明書ポリシーを作成しCitrix Endpoint Managementが Secure Hubから Citrix Gatewayに提供されるクライアント証明書からユーザープリンシパル名または sAMAccountを抽出できるようにします詳しくは「XenMobile Citrix ADC ADCウィザード」を参照してください

4 証明書プロファイルの次のパラメータを設定します

Authentication TypeCERT

2つの要素OFF（証明書のみの認証）

ユーザー名フィールド件名 CN

Group Name FieldSubjectAltNamePrincipalName

5 Citrix Gateway仮想サーバーで証明書認証ポリシーのみをプライマリ認証としてバインドします

6 ルート CA証明書をバインドしてCitrix Gatewayに提されたクライアント証明書の信頼を検証します

クライアント証明書とドメイン認証のための Citrix Gatewayの動構成

1 [トラフィック管理] gt [負荷分散] gt [仮想サーバー]で各仮想サーバー (443と 8443の両)に移動しSSLパラメーターを更新し[セッション再利の有効化]を [ DISABLED]に設定します


Citrix Gateway 130

2「ポリシー」gt「認証」gt「証明書」の順に選択し「サーバー」タブを選択して「追加」をクリックします

3 プロファイルの名前をし[ 2ファクタ]を [オン]に設定し[ユーザ名フィールド]から [サブジェクトAltNamePrincipalName]を選択します


5 ポリシーの名前をし[サーバ]から証明書プロファイルを選択し[式]を ns_trueに設定して [作成]をクリックします

6「仮想サーバー」に移動し仮想サーバーを選択して「編集」をクリックします

7 [認証]の横の [ +]をクリックして証明書認証を追加します

8 認証法を選択するには「ポリシーの選択」から「証明書」を選択します

9「タイプの選択」で「プライマリ」を選択しますこれによりLDAP認証タイプと同じプライオリティのプライマリ認証として証明書認証がバインドされます

10 [ポリシーのバインド]で[クリックして選択]をクリックして以前に作成した証明書ポリシーを選択します

11 前に作成した証明書ポリシーを選択し[ OK]をクリックします

12 [優先度]を 100に設定し[バインド]をクリックします後続の順で LDAP認証ポリシーを設定する場合は同じプライオリティ番号を使します

13 [ LDAPポリシー]ので[ gt]をクリックします

14 ポリシーを選択し「編集」ドロップダウンメニューから「バインディングの編集」をクリックします

15 証明書ポリシーに指定したのと同じ [優先度]値をします［バインド］をクリックします


17 [詳細設定]の [SSLパラメータ]をクリックします

18 [クライアント認証]チェックボックスをオンにし[クライアント証明書]から [必須]を選択し[ OK ]をクリックします


Citrix ADC証明書失効リスト (CRL)

Citrix Endpoint Managementではサードパーティの認証局に対してのみ証明書失効リスト（CRL）がサポートされますMicrosoft CAを構成している場合Citrix Endpoint Managementは Citrix ADCを使して失効を管理しますクライアント証明書ベースの認証を構成する場合はCitrix ADC証明書失効リスト（CRL）設定の「CRL動更新を有効にする」を構成する必要があるかどうかを検討しますこの順を使するとMAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使して認証できなくなりますCitrix Endpoint Managementでは新しい証明書が再発されますこれはユーザーが失効した場合にユーザー証明書を成できないためですこの設定はCRLが期限切れの PKIエンティティを確認する場合PKIエンティティのセキュリティを強化します


Citrix Gateway 130


CloudBridgeによるネットワークトラフィックの最適化

March 26 2020

ユーザーが Citrix Gatewayプラグインを使してログオンする場合CloudBridgeプラグインを使して接続を最適化できますこのプラグインはCloudBridgeからユーザーデバイスにインストールされますCloudBridgeプラグインを使して接続が最適化されるとネットワークトラフィックは Citrix Gatewayを介して圧縮され速化されます接続で CloudBridgeを有効にするとCitrix Gatewayの TCP圧縮ポリシーが無効になります

CloudBridgeプラグインがデプロイされCitrix Gatewayプラグインと連動します

Citrix Gatewayはリピータープラグインのバージョン 55および 61とCloudBridgeプラグインのバージョン62および 70をサポートしています

CloudBridgeの最適化とフロー制御は動的なコンテンツ変更を必要とする Citrix Gatewayの最適化機能よりも優先されますHTTPトラフィックに対して CloudBridge最適化が有効になっている場合次の Citrix Gateway機能は使できません

bull Webアプリケーションへのシングルサインオンbull ファイルタイプの関連付けbull ウェブ認証

Webアプリケーションへのシングルサインオンを許可するにはHTTPでアクセラレーションを無効にしますこれをうにはコマンドラインを使しますCitrix Gatewayシリアルコンソールにログオンしコマンドプロンプトで次のようにします

add vpn trafficAction ssoact http -SSO ON

Citrix Gatewayで設定された HTTPポート宛てのネットワークトラフィックはCloudBridgeの最適化から動的に除外されますこれがデフォルトの設定ですHTTPポートで CloudBridge最適化のトラフィックポリシーを設定するとトラフィックポリシーが適されネットワークトラフィックは CloudBridgeによって最適化されますただしCitrix Gatewayの最適化機能はそのポリシーの影響を受けるすべてのトラフィックに対して無効になりますCloudBridgeは他の Citrix Gateway機能に影響を与えることなく HTTPポート宛てのネットワークトラフィックを速化できます

トラフィックポリシーを使してCloudBridgeプラグインを使するようにユーザー接続を設定しますその後ポリシーをユーザーグループ仮想サーバーまたはグローバルにバインドできますポリシーはポリシーをバインドする場所に基づいてまたはポリシーに付与された優先順位番号に基づいて優先順位付けされます


Citrix Gateway 130

トラフィックポリシーを作成するには


2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [ブランチリピーター]で [オン]を選択し[作成]をクリックします7 [トラフィックポリシーの作成]ダイアログボックスの [式の追加]の横でCloudBridgeアクセラレーションを有効にするトラフィックタイプを表す式を選択またはします[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします

式を追加するときはCloudBridgeが速化するように設定されているのと同じ IPアドレスとポート範囲を使するネットワーク式を選択しますCloudBridgeアクセラレーションを実するにはCitrix Gatewayで設定されたトラフィックの種類がCloudBridgeで設定されたサービスクラスポリシーと致している必要があります

すべての TCPトラフィックはCloudBridgeアクセラレーションの恩恵を受けていますシングルサインオンの使を計画している場合はアクセラレーションによってシングルサインオンが無効になるためHTTPトラフィックを加速しないでください


Gateway UX設定での RfWebUIパーソナ

March 26 2020

RfWebUIペルソナはCitrix Gatewayを介してログオンする Citrix Gatewayユーザーのための新しいログオンとポータルページを提供するテーマですポータルではReceiverStorefrontおよび Citrix EndpointManagementユーザーにこれらの製品に直接アクセスする場合と同じ GUIが提供されます

RfWebUIペルソナを使するタイミング

Citrix Gatewayの RfWebUIペルソナはWebアプリケーションや SaaS（サービスとしてのソフトウェア）アプリケーション仮想Windowsアプリケーションデスクトップなど異なる CITRIX製品で提供されるすべてのアプリケーションを単のウィンドウで表する必要がある場合に使します

次のシナリオはRfWebUIペルソナの使法をしています

bull ユーザーが Gatewayを使して StorefrontにアクセスするとGatewayを使せずに製品にアクセスしたときに表される GUIとは異なる GUIが検出されます


Citrix Gateway 130

解決策ユーザーが Gatewayを使して StorefrontにアクセスするとRfWebUIテーマはGatewayを使せずに製品にアクセスしたときと同様のユーザーインターフェイスを提供します

bull ユーザーはGateway を使して Citrix Workspace アプリStorefrontおよび Citrix EndpointManagementアプリケーションにアクセスしアプリケーションが論理的にグループ化されないため的のアプリケーションの検索に苦労します解決策 RfWebUIペルソナはReceiverStorefrontCitrix Endpoint Managementなどの異なる製品によって提供されるアプリケーションの論理的なバンドルを作成することで単のペインビューのユーザーエクスペリエンスを提供します

RfWebUIペルソナが提供する機能

新しい RfWebUIには次の機能があります

bull 移動bull アプリケーションの集約bull ユーザー設定の RDPプロキシリンクbull お気にりのアプリケーション

移動

GO Go機能はクリントレス VPN（CVPN）を介してWebページへのアクセスを提供しますユーザーは[ブックマーク]タブの [URL]セクションに URLをし[ GO ]をクリックします

現在GO機能ではOutlook Webアプリケーション (OWA)と SharePointの URLのみがサポートされています

注[ GO]タブはセッションポリシーの clientlessAccessVPNModeパラメーターが [有効]である場合にのみ表されます

アプリケーションの集約

アプリケーションの集約 RfWebUIテーマは説明バナーの下に異なる製品によって提供されるアプリケーションをバンドルすることにより単ペインビューを提供しますたとえばCitrix ADC管理者が設定したすべてのVPN URLはWebアプリケーションおよび SaaSアプリケーションという名前のバンドルに含まれておりユーザー固有のWebブックマークは「個ブックマーク」の下にありますStoreFrontで Citrix Virtual Apps andDesktopsアプリケーションバンドルが構成されている場合Citrix Gatewayの単ペインビューにもこれらのバンドルが表されます


Citrix Gateway 130

ユーザ設定の RDPプロキシリンク

ユーザーはリモートデスクトッププロトコル (RDP)プロキシリンクを個ブックマークとして追加できます個ブックマークが [デスクトップ]タブに表されます

次の RDPモードがサポートされています

bull 単 Gatewaybull ステートレス（デュアル）Gateway

注RDPプロキシリンクを追加できるのはRDPクライアントプロファイルが構成されている場合のみですRDP構成の詳細についてはRDPプロキシのドキュメントを参照してください

お気にりのアプリケーション

ユーザーはアプリケーション名の横にある [お気にりに追加]リンクをクリックして[ Webおよび SaaSアプリケーション]の下および [お気にり]タブに個ブックマークにリストされている的のアプリケーションを追加できます度追加されたアプリケーションは[ お気にり]タブの下にることができます同じことは[お気にり]タブ内のアプリケーションの横にある REMOVEリンクをクリックして[お気にり]タブから削除することができます

RfWebUIペルソナを有効にする際の考慮事項

RfWebUIペルソナでは次の機能が完全にはサポートされていません

ファイル共有機能 SMBファイル共有にアクセスするためのファイル共有機能はサポートされていませんメールホーム［メールホーム］VPNパラメーターはCitrix Gatewayポータルの埋め込みビューとして使できませんこれはRfWebUIの APPSタブの下にあるWebおよび SaaSアプリバンドル内のアプリケーションとしてアクセスすることができますJavaクライアント SSLトンネルを確するためのブラウザベースの Javaクライアントはこのテーマでは使できません

RfWebUIペルソナの設定

RfWebUIペルソナを適するには

1 Citrix ADCインターフェイスで［構成］gt［Citrix Gatewayポータルのテーマ］に移動します2 [ポータルのテーマ]ページで[ RfWebUI ]チェックボックスを選択します3 ポータルテーマページの右上隅にある「保存」アイコンをクリックします4 [保存の確認]ダイアログボックスで[はい]をクリックします


Citrix Gateway 130


RDPプロキシ

March 26 2020

Citrix Gatewayによる RDPプロキシの概要と機能拡張

以下の RDPプロキシ機能を使するとCitrix Gateway経由でリモートデスクトップファームにアクセスできます

bull CVPNまたは ICAプロキシモード（フルトンネルなし）を介して RDPトラフィックを保護します

bull Citrix Gatewayを介して RDPサーバーへのシングルサインオン（SSO）また必要に応じて SSOを無効にするオプションも意されています）

bull 適（SmartAccess）機能Citrix ADC管理者はCitrix Gateway構成を通じて特定の RDP機能を無効にできます

bull すべてのニーズに対応するシングルステートレス（デュアル）Gatewayソリューション（VPNICARDPC-itrix Endpoint Management）

bull カスタムクライアントを必要とせずにRDPのネイティブWindows MSTSCクライアントとの互換性

bull Microsoftが提供する既存の RDPクライアントをMACOSXiOSAndroidで使する

導の概要

次の図は展開の概要をしています

RDPプロキシ機能はCitrix Gatewayの部として提供されます般的な展開ではRDPクライアントはリモートユーザーのマシンで実されますCitrix Gatewayアプライアンスは DMZ内に展開されRDPサーバーファームは社内ネットワークにありますリモートユーザーはCitrix Gatewayのパブリック IPアドレスに接続しSSLVPN接続を確し認証をいますその後ユーザーは Citrix Gatewayアプライアンスを介してリモートデスクトップにアクセスできます

RDPプロキシ機能はCVPNおよび ICAプロキシモードでサポートされています

注Citrix Gatewayはリモートデスクトップセッションホスト（RDSH）リモートアプリケーションRDSマルチユーザー RDPセッションをサポートしていません


Citrix Gateway 130

CVPNを介した配置

このモードではRDPリンクはGatewayのホームページまたはポータルにブックマークとして「Add vpnURL」構成を介してまたは外部ポータル経由で公開されますユーザーはこれらのリンクをクリックしてリモートデスクトップにアクセスできます

ICAプロキシによる展開

このモードではwihomeパラメーターを使してGateway VIPにカスタムホームページが設定されますこのホームページはユーザーがアクセスできるリモートデスクトップリソースの覧を使してカスタマイズできますこのカスタムページはCitrix ADCでホストできます外部の場合は既存の Gatewayポータルページの iFrameにすることができます

どちらのモードでもプロビジョニングされた RDPリンクまたはアイコンをクリックすると対応するリソースに対する HTTPSリクエストが Citrix Gatewayに到着しますGatewayは要求された接続の RDPファイルのコンテンツを成しクライアントにプッシュしますネイティブ RDPクライアントが呼び出されGateway上のRDPリスナーに接続しますGatewayは適（SmartAccess）をサポートすることによりRDPサーバーへのSSOを実しますSmartAccessではCitrix ADC構成に基づいてゲートウェイが特定の RDP機能へのクライアントアクセスをブロックしRDPクライアントとサーバー間の RDPトラフィックをプロキシします

強制の詳細

Citrix ADC管理者はCitrix Gateway構成を使して特定の RDP機能を設定できますCitrix Gatewayでは重要な RDPパラメーターに対して「RDP強制」機能が提供されますCitrix ADCはクライアントがブロックされたパラメータを有効にできないようにしますブロックされたパラメータが有効になっている場合RDP強制機能はクライアント対応パラメータよりも優先されこれらのパラメータは考慮されません

適でサポートされる RDPパラメータ

次のリダイレクションパラメータの適がサポートされていますこれらはRDPクライアントプロファイルの部として構成できます

bull クリップボードのリダイレクト

bull プリンタのリダイレクト

bull ディスクドライブのリダイレクト

bull COMポートのリダイレクト

bull pnpデバイスのリダイレクト


Citrix Gateway 130

接続フロー

接続フローは次の 2つのステップに分けることができます

bull RDPリソースの列挙と RDPファイルのダウンロード

bull RDP接続の起動

上記の接続フローに基づいて2つの展開ソリューションがあります

bull ステートレス（デュアル）Gatewayソリューション-RDPリソースの列挙と RDPファイルのダウンロードはオーセンティケータ Gatewayを介してわれますがRDP接続の起動は RDPリスナー Gatewayを介してわれます

bull 単 Gatewayソリューション-RDPリソース列挙RDPファイルのダウンロードおよび RDP接続の起動は同じ Gatewayを介してわれます

ステートレス（デュアル）Gateway互換性


bull ユーザはオーセンティケータゲートウェイ VIPに接続しクレデンシャルを提供します

bull Gatewayへのログインに成功するとユーザーはホームページまたは外部ポータルにリダイレクトされユーザーがアクセスできるリモートデスクトップリソースが列挙されます

bull ユーザーが RDP リソースを選択するとユーザーがクリックした公開リソースをす形式httpsvserver-viprdpproxyrdptargetlistenerでオーセンティケータゲートウェイ VIPによって要求が受信されますこの要求にはユーザーが選択した RDPサーバーの IPアドレスとポートに関する情報が含まれます

bull rdpproxy要求はオーセンティケータゲートウェイによって処理されますユーザーはすでに認証されているためこのリクエストには有効な Gatewayクッキーが付属しています

bull RDPTargetおよび RDPUser情報は STAサーバーに格納されSTAチケットが成されますSTAサーバに保存された情報は構成済みの事前共有キーを使して暗号化されますオーセンティケータ GatewayはGateway仮想サーバ上に構成されている STAサーバの 1つを使します

bull rdpproxy要求で取得された「リスナー」情報は「fulladdress」としてrdpファイルに格納されSTAチケット（STA認証 IDが先頭に付属）は「loadbalanceinfo」としてrdpファイルに格納されます

bull rdpファイルはクライアントエンドポイントに送り返されます

bull ネイティブ RDPクライアントが起動しRDPListener Gatewayに接続しますSTAチケットを初期パケットで送信します

RDPListener GatewayはSTAチケットを検証しRDPTargetおよび RDPUserの情報を取得します使する STAサーバーはロードバランス情報に存在する lsquoAuthIDrsquoを使して取得されます


Citrix Gateway 130



単 Gateway配置の場合STAサーバーは必要ありませんオーセンティケータ GatewayはRDPTargetとCitrix ADC AAAセッション Cookieを安全にエンコードしrdpファイルに負荷分散情報として送信しますRDPクライアントが最初のパケットでこのトークンを送信するとオーセンティケータ Gatewayは RDPTarget情報をデコードしセッションを検索して RDPTargetに接続します

RDPプロキシのライセンス要件

プレミアムエディションアドバンスエディション

注 Gatewayプラットフォームライセンスのみまたは標準エディションのみをお持ちのお客様にはRDPProxy機能をご利いただけません

RDPプロキシが機能するにはRDPプロキシ機能を有効にする必要があります

1 enable feature rdpProxy

構成の順

構成順の概要は次のとおりです

1 機能の有効化2 Gatewayポータルでブックマークを作成するかRDPリソースを列挙するカスタマイズされた Gatewayポータルを使する

3 RDPクライアントプロファイルの構成4 RDPサーバープロファイルの構成

必要な機能とモードを有効にする

bull enable ns feature ssl

bull enable ns feature sslvpn

bull enable ns feature rdpproxy

bull enable mode usnip

ブックマークの作成

1 RDPリソースにアクセスするためにポータルページにブックマークを作成します (actualURLは rdp で始まります)


Citrix Gateway 130

2 vpn url lturlNamegt ltlinkNamegt ltactualURLgtの追加

bull URLは次の形式である必要がありますrdpltTargetIPPortgt

bull ステートレス RDP プロキシモードの場合URL は次の形式である必要がありますrdpltTargetIPPortgtltListenerIPPortgt

bull URLは次の形式でポータルに公開されますhttpsltVPN-VIPgtrdpproxyltTargetIPPortgthttpsltVPN-VIPgtrdpproxyltTargetIPPortgtltListenerIPPortgt

3 ブックマークをユーザグループまたは vpn仮想サーバまたは vpnグローバルにバインドします

クライアントプロファイルの設定

オーセンティケータ Gatewayでクライアントプロファイルを設定します次に設定例をします

1 add rdpClient profile ltnamegt [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook ltkeyboardHookgt] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk ltstringgt] [-rdpCookieValidity ltpositive_integergt] [-rdpCustomParams ltstringgt] [-rdpFileName ltstringgt] [-rdpHost ltoptional FQDN that will be put inthe RDP file as lsquo fulladdressgt] [-rdpUrlOverride ( ENABLE | DISABLE)] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts (ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE| DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

RDPクライアントプロファイルを vpn vserverに関連付けます


例

add vpn sessionaction ltactnamegt -rdpClientprofile ltrdpprofilenamegt

add vpn sessionpolicy ltpolnamegt NS_TRUE ltactnamegt

bind vpn vserver ltvservernamegt -policy ltpolnamegt -priority ltprioritynumbergt

または

set vpn parameter ‒rdpClientprofile ltnamegt

サーバプロファイルの設定

リスナー Gatewayでサーバープロファイルを設定します


Citrix Gateway 130

bull add rdpServer Profile ltprofilenamegt -rdpIP ltIPV4 address of the RDPlistenergt -rdpPort ltport for terminating RDP client connectionsgt -psk ltkey to decrypt RDPTargetRDPUser information needed while using STAgt

rdpServerプロファイルは「vpn仮想サーバー」で構成する必要があります

bull add vpn vserver v1 SSL ltpublicIPgt ltportforterminatingvpnconnectionsgt -rdpServerProfile ltrdpServer Profilegt

構成例

bull 必要な機能とモードを有効にする

ndash enable ns feature ssl

ndash enable ns feature sslvpn

ndash enable ns feature rdpproxy

ndash enable mode usnip

bull ターゲット情報を持つユーザーの VPN URLを追加する

1 add aaa user Administrator ‒ password freebsd123$^23 add vpn url rdp RdpLink rdprdpserverinfo45 add dns addrec rdpserverinfo 1010214713267 bind aaa user Administrator ‒ urlName rdp

bull VPN接続の RDPクライアントとサーバープロファイルを構成する

1 add rdp clientprofile p1 ‒ psk citrix -redirectClipboard ENABLE23 add rdp serverprofile p1 -rdpIP 10102147134 -psk citrix45 add vpn vserver mygateway SSL 10102147134 443 ‒

rdpserverprofile p167 set vpn parameter -clientlessVpnMode ON -

defaultAuthorizationAction ALLOW -rdpClientProfileName p189 add ssl certKey gatewaykey -cert rdp_rootcertpem -key

rdp_rootkey1011 bind ssl vserver mygateway -certkeyName gatewaykey


Citrix Gateway 130

bull Citrix ADCからターゲットに接続するための SNIPを追加

1 add ns ip 10102147135 2552552550 ‒ type SNIP

SSOを無効にするオプション

RDPプロキシを使した SSO（シングルサインオン）機能はCitrix ADCトラフィックポリシーを構成することで無効にできますこれによりユーザーは常に資格情報のを求められますSSOが無効になっているとRDPの適 (SmartAccess)が機能しません

設定例

1 add vpn trafficaction ltTrafficActionNamegt HTTP -SSO OFF

トラフィックポリシーは要件に従って設定できます次に2つの例をします

bullすべてのトラフィックの SSOを無効にするには次の順を実します

1 add vpn trafficpolicy ltTrafficPolicyNamegt rdquourl contains rdpproxyrdquo ltTrafficActionNamegt

bull送信元宛先 IPFQDNに基づいて SSOを無効にするには

1 add vpn trafficPolicy ltTrafficPolicyNamegt rdquoREQHTTPURL CONTAINSrdpproxy ampamp REQIPSOURCEIP == ltIPFQDNgtrdquo ltTrafficActionNamegt bindvpnvserver rdp -policy ltTrafficActionNamegt

単リスナーのサポート

bull RDPトラフィックと SSLトラフィックの両に対する単リスナー

bull RDPファイルのダウンロードと RDPトラフィックはCitrix ADC上の同じ 2タプル（IPとポート）を介して処理できます

ブックマーク

ポータル経由の RDPリンク成ユーザーの RDPリンクを構成したり外部ポータル経由で RDPリンクを公開したりする代わりにtargerIP Portを指定することでユーザーに独の URLを成するオプションを与えることができますステートレス RDPプロキシ展開の場合管理者は RDPクライアントプロファイルの部としてFQDNポート形式で RDPリスナー情報を含めることができますこれはrdpListenerオプションの下でわれますこの構成はデュアル Gatewayモードでポータルを介した RDPリンク成に使されます


Citrix Gateway 130

RDPプロキシの設定

RDPプロキシを設定するには次の順を実します

1［Citrix Gateway］を展開し［ポリシー］を展開し［RDP］を右クリックして［機能を有効にする］をクリックします

2 左側の [RDP]をクリックします右側の [クライアントプロファイル]タブに切り替えて[追加]をクリックします

3 クライアントプロファイルに名前を付け必要に応じて構成します下にスクロールする

4［RDPホスト］フィールドにRDPプロキシリスナーに解決する FQDNをしますこれは通常CitrixGatewayアプライアンスの FDQNと同じ FQDNです

5 下部付近には事前共有キーがありますパスワードをし[ OK]をクリックしますこれは後で必要になります

6 サーバプロファイルに名前を付けます

7 これをバインドする Gateway仮想サーバーの IPアドレスをします

8 RDPクライアントプロファイルに設定したのと同じ事前共有キーをします［作成］をクリックします

9 クライアントレスアクセスのポータルページに RDP ブックマークを配置する場合は左側で［CitrixGateway］［リソース］［ブックマーク］の順に展開します

10 右側の [追加]をクリックします

11 ブックマークに名前を付けます

12 URLには「rdp IPまたは DNSを使してMyRDPサーバ」とします

13［Citrix Gatewayをリバースプロキシとして使］の横にあるチェックボックスをオンにし［作成］をクリックします

14 必要に応じてさらにブックマークを作成します

15 セッションプロファイルまたはポリシーを作成または編集します

16 [セキュリティ]タブで[既定の承認操作]を [許可]に設定しますまたは承認ポリシーを使してアクセスを制御することもできます

17 [リモートデスクトップ]タブで前に作成した RDPクライアントプロファイルを選択します

18 ブックマークを使する場合は[クライアントエクスペリエンス]タブで[クライアントレスアクセス]を[オン]に設定します

19 [公開アプリケーション]タブでICAプロキシがOFFになっていることを確認します

20 Gateway仮想サーバーを変更または作成します

21 [基本設定]セクションで[詳細]をクリックします


Citrix Gateway 130

22 RDPサーバープロファイルリストを使して前に作成した RDPサーバープロファイルを選択します

23 下にスクロールします[ ICAのみ]がオフになっていることを確認します

24 証明書をバインドします

25 バインド認証ポリシー

26 RDPクライアントプロファイルが設定されているセッションポリシープロファイルをバインドします

27 ブックマークはCitrix Gateway仮想サーバーまたは Citrix ADC AAAグループにバインドできますCitrixGateway仮想サーバーにバインドするには右側の［詳細設定］セクションで［公開アプリケーション］をクリックします

28 左側の [公開アプリケーション]セクションで[ URLなし]をクリックします

29 ブックマークをバインドします

30 この Citrix Gateway仮想サーバーには ICAのみが指定されていないためCitrix Gatewayユニバーサルライセンスが正しく構成されていることを確認してください左側で Citrix Gatewayを展開し［グローバル設定］をクリックします

31 右側の [認証 AAA設定の変更]をクリックします

32 [最ユーザー数]をライセンス制限に変更します

33 DNSを使して RDPサーバーに接続する場合はアプライアンスで DNSサーバーが設定されていることを確認します（トラフィック管理 gt DNS gtネームサーバー）

34 FQDN の代わりに短い名前を使する場合はDNS サフィックスを追加します ([トラフィック管理] gt[DNS] gt [DNSサフィックス])

35 Gatewayに接続してログオンします

36 ブックマークを設定した場合はブックマークをクリックします

37 アドレスバーを rdpproxyMyRDPServerに変更することができますIPアドレス (例rdpproxy192168150)または DNS名 (rdpproxymyserver)をできます

38 ダウンロードしたrdpファイルを開きます

39 Citrix Gatewayポリシー］gt［RDP］の順に選択して現在接続しているユーザーを表できます右側は [ 接続]タブです


ステートレス RDPプロキシ

March 26 2020


Citrix Gateway 130

ステートレス RDPプロキシはRDPホストにアクセスしますユーザーが別の Citrix Gatewayオーセンティケータで認証をうとCitrix Gateway上の RDPListenerによってアクセスが許可されますCitrix GatewayのRDPListenerに必要な情報はSTAサーバーに安全に保存されます

ここではこの機能に作成されたフローノブと新しいノブについて説明します

前提条件

bull ユーザーは Citrix Gateway認証システム上で認証されます

bull 最初の rdpproxy URLおよび RDPクライアントは別の RDPListener Citrix Gatewayに接続されています

bull RDPListener Gateway情報はSTAサーバを使してオーセンティケータゲートウェイによって安全に渡されます

構成

bull 新しい rdpServer プロファイルを追加しますサーバプロファイルはRDPListener Gateway上で構成されます

1 add rdpServer Profile [profilename] -rdpIP [IPV4 address of theRDP listener] -rdpPort [port for terminating RDP clientconnections] -psk [key to decrypt RDPTargetRDPUserinformation needed while using STA]

ステートレス RDPプロキシの場合STAサーバーはRDPクライアントから送信される STAチケットを検証してRDPターゲットRDPUser情報を取得します

rdpServerプロファイルは次のコマンドを使して vpn仮想サーバ上で設定します

1 add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServerProfile]

警告rdpServerProfileが仮想サーバ上で構成されると変更することはできませんまた同じ server-Profileを別の vpn仮想サーバで再利することはできません

rdpプロファイルコマンドの名前が rdpClientプロファイルに変更され新しいパラメータが追加されましたマルチモニターサポートコマンドが追加されましたまたRDPクライアントプロファイルの部としてサポートされていないカスタムパラメータを設定するオプションが追加されました接続は常にセキュリティで保護されているためclientSSLパラメータが削除されましたクライアントプロファイルはオーセンティケータ Gatewayで設定されます


Citrix Gateway 130

1 add rdpClient profile ltnamegt -rdpHost ltoptional FQDN that will be putin the RDP file as lsquo fulladdressrsquo gt [-rdpUrlOverride ( ENABLE |DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]

23 [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook lt

keyboardHookgt] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

45 [-rdpCookieValidity ltpositive_integergt][-multiMonitorSupport (

ENABLE | DISABLE )] [-rdpCustomParams ltstringgt] mdash rdpHost構成は単の Gateway展開で使されます

bull RDPプロファイルを vpn仮想サーバに関連付けます


例

1 add vpn sessionaction ltactnamegt -rdpClientprofile ltrdpprofilenamegt23 add vpn sessionpolicy ltpolnamegt NS_TRUE ltactnamegt45 bind vpn vserver ltvservernamegt -policy ltpolnamegt -priority lt

prioritynumbergt67 または89 set vpn parameter ‒ rdpClientprofile ltnamegt

接続カウンタ

新しい接続カウンタ ns_rdp_tot_curr_active_connが追加されましたこのカウンタは使中のアクティブな接続数の記録を保持しますこれはNetScalerシェル上の nsconmsgコマンドの部としてることができます後でこのカウンタを表する新しい CLIコマンドを提供します

接続フロー

RDPプロキシフローには 2つの接続があります最初の接続はCitrix Gateway VIPへのユーザーの SSL VPN接続でありRDPリソースの列挙です


Citrix Gateway 130

2番の接続はCitrix Gateway上の RDPリスナーへのネイティブ RDPクライアント接続（rdpIPと rdpPortを使して構成）でありその後 RDPクライアントからサーバーパケットへのセキュアなプロキシです

1 ユーザはオーセンティケータゲートウェイ VIPに接続しクレデンシャルを提供します

2 Gatewayへのログインに成功するとユーザーはホームページ外部ポータルにリダイレクトされユーザーがアクセスできるリモートデスクトップリソースを列挙します

3 ユーザーが RDP リソースを選択するとユーザーがクリックした公開リソースhttpsAGVIPrdpproxyipportrdptargetproxyをす形式でオーセンティケータゲートウェイ VIPによって要求が受信されますこの要求にはユーザーが選択した RDPサーバーの IPおよびポートに関する情報が含まれます

4 rdpproxy要求はオーセンティケータゲートウェイによって処理されますユーザーはすでに認証されているためこのリクエストには有効な Gatewayクッキーが付属しています

5 RDPTargetおよび RDPUser情報は STAサーバーに格納されSTAチケットが成されます情報は XMLBLOBとして保存されますXML BLOBは設定済みの事前共有キーを使してオプションで暗号化されます暗号化されている場合BLOBは base64でエンコードされ保存されますオーセンティケータゲートウェイはGateway仮想サーバ上に構成されている STAサーバの 1つを使します

6 XML BLOBは次の形式になります

ltValue name=rdquoIPAddressrdquogtipaddrltValuegtnltValue name=rdquoPortrdquogtportltValuegtn

ltValue name=rdquoUsernamerdquogtusernameltValuegtnltValue name=rdquoPasswordrdquogtpwdltValuegt

7 rdpproxyリクエストで取得した「rdptargetproxy」は「フルアドレス」として配置されSTAチケット（STA認証 IDの前に付加される）はrdpファイルの「ロードバランス情報」として配置されます

8 rdpファイルはクライアントエンドポイントに送り返されます

9 ネイティブ RDP クライアントが起動しRDPListener Gateway に接続しますSTA チケットを最初のx224パケットで送信します

10 RDPListener GatewayはSTAチケットを検証しRDPTargetおよび RDPUserの情報を取得します使する STAサーバーはロードバランス情報に存在する lsquoAuthIDrsquoを使して取得されます

11 Gatewayセッションは認可監査ポリシーを保存するために作成されますそのユーザーのセッションがすでに存在する場合そのセッションは再利されます

12 RDPListener Gatewayは RDPTargetに接続しCREDSSPを使してシングルサインオンします


RDPファイルが rdpproxyrdptargetrdptargetproxy URLを使して成される場合はSTAチケットが成されますそうでない場合はセッションを直接参照する lsquoloadbalanceinforsquoの現在のメソッドが使されます


Citrix Gateway 130

単の Gateway展開の場合rdpproxy URLはオーセンティケータゲートウェイ体に送信されますSTAサーバは必要ありませんオーセンティケータ GatewayはRDPTargetおよび AAAセッションクッキーを安全にエンコードしこれをrdpファイル内の「loadbalanceinfo」として送信しますRDPクライアントが x224パケットでこのトークンを送信するとオーセンティケータ Gatewayは RDPTarget情報をデコードしセッションを検索して RDPTargetに接続します

アップグレードに関する注意事項

以前の構成はこの新しいリリースでは機能しませんこれはvpn vserver上で以前に構成されていたパラメータrdpIPおよび rdpPortが rdpServerProfileの部になるように更新されrsquordpプロファイル lsquoの名前が lsquordpクライアントプロファイルrsquoに変更され古いパラメータ clientSSLが削除されているためです

RDPサーバープロファイルの作成

1 Citrix Gateway gt［ポリシー］gt［RDP］の順に選択します

2「サーバープロファイル」タブに移動し「追加」をクリックします

3 RDPサーバープロファイルを作成するには次の情報をします

RDPクライアントプロファイルの構成

1 Citrix Gateway gtポリシー gtRDPに移動します

2 [クライアントプロファイル]タブに移動し[追加]をクリックします

3 RDPサーバープロファイルを構成するには次の情報をします

仮想サーバーのセットアップ


2 [追加]をクリックして新しい RDPサーバーを作成します

3 この [基本設定]ページのデータをし[ OK]をクリックします

4 鉛筆をクリックしてページを編集します



Citrix Gateway 130

RDP接続リダイレクト

March 26 2020

Citrix Gatewayアプライアンスは接続ブローカーまたはセッションディレクトリの存在下で RDP接続リダイレクトをサポートするようになりましたRDPプロキシ通信ではクライアントからサーバーへのすべての接続に排他的な URLが必要なくなりました代わりにプロキシは単の URLを使して RDPサーバーファームに接続するため管理者のメンテナンスと構成のオーバーヘッドが軽減されます

注意点

bull RDP接続リダイレクトはSSOが有効になっている場合にのみサポートされシングル Gatewayモードステートレスモードデュアル Gatewayモードエンフォースメント（Smart Access）の両でサポートされます

bull RDPプロキシ機能はIPクッキーをサポートするトークンベースのリダイレクトでのみサポートされますIPベースのルーティングトークン「msts=」は「IPアドレスリダイレクトを使する」機能が無効になっているとWindowsセッションブローカーまたは接続ブローカーによって引き渡されます

bull RDPプロキシ接続の専リダイレクタを構成できます

接続ブローカの存在下で RDPProxyを展開する

接続ブローカが存在する RDPProxyは次の 2つの法で展開できます

bull RDセッションホストサーバーが RD接続ブローカーの負荷分散に参加している場合bull RDPロードバランシング機能が存在する場合

RD接続ブローカーの負荷分散に参加する RDセッションホストサーバーの場合

この場合RDP URLリンクはリダイレクタとして機能する宛先サーバーとして RDPサーバーの 1つを指すように構成できますまたファーム内の RDPサーバーの 1つを宛先サーバーとして持つことも可能です（この場合サーバーは RDPセッションを受け付けません）詳細についてはリモートデスクトッププロトコル (RDP)サーバーの負荷分散を参照してください

RDPロードバランシング機能が存在する場合

接続ブローカーの負荷分散が有効になっていない場合我々は接続ブローカーの存在下で RDPセッションの必要な負荷分散をうためにCitrix ADC上で利可能な RDP負荷分散機能を持つことができますこの場合RDP URLリンクはRDPロードバランサーを宛先サーバーとして設定する必要がありますRDPロードバランサーはRDPプロキシと同じ Citrix Gatewayアプライアンス上に配置できます詳細についてはロードバランシング rdpサーバを参照してください

注


Citrix Gateway 130

接続ブローカーの存在下で RDPProxyをサポートするにはCitrix Gatewayで RDP接続リダイレクトを有効にする必要があります

接続ブローカの存在下で RDPProxyを構成する

コマンドラインインターフェイスを使して RDP接続リダイレクトを構成するにはコマンドプロンプトで次のようにします

1 add rdpserverprofile ltNamegt -psk ltstringgt -rdpRedirection ( ENABLE| DISABLE )

23 add rdpserverprofile serverProfileName -psk ldquo secretStringrdquo -

rdpRedirection ENABLE

Citrix ADC GUIを使して RDP接続リダイレクトを構成するには

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 RDPを右クリックして RDPリダイレクト機能を有効または無効にします


LDAP属性に基づいて RDP URLを設定する

March 26 2020

LDAPサーバー属性から RDPサーバー（IPFQDN）のリストを取得するように Citrix Gatewayアプライアンスを構成できます取得したリストに基づいてアプライアンスは特定のユーザーがアクセスするサーバーの RDP URLを表します

LDAP属性に基づく RDP URLの設定機能の構成

コマンドラインインターフェイスを使して LDAP属性に基づいて RDP URLを設定するにはコマンドプロンプトで次のようにします

1 add rdpclientprofile ltNamegt ‒ rdpUrlLinkAttribute ltstringgt

1 add rdpclientprofile clientProfileName ‒ rdpUrlLinkAttributerdpServerAttribute


Citrix Gateway 130

上記の例ではrdpServerAttributeはLDAPサーバー上の特定のユーザーの rdpサーバーの詳細に対応します

注LDAPサーバーから LDAP属性の詳細をフェッチするには次のように pUrlLinkAttributeで設定した字列と同じ字列で LDAPアクションを設定する必要があります

1 add authentication ldapAction dnpg_ldap -serverIP ltIP addressgt-ldapBase ltrdquodomain namerdquogt -ldapBindDn ltusernamegt -ldapLoginNamesAMAccountName -ldapbindDnpassword ltpasswordgt

1 dd authentication ldapAction dnpg_ldap -serverIP 1010239101 -ldapBase rdquodc=dnpg-blrdc=comrdquo -ldapBindDn sqladmindnpg-blrcom-ldapLoginName sAMAccountName -ldapbindDnpassword xxxx

1 add authentication ldapPolicy dnpg_ldap_pol ns_true dnpg_ldap

1 bind vpn vs vserverltnamegt -pol dnpg_ldap_pol23 set ldapaction dnpg_ldap -attributes rdquordpServerAttributerdquo45 set rdpclientprofile ldap -rdpLinkAttribute rdpServerAttribute

LDAPサーバで次の順を実します

1 特定のユーザーに移動します2 ADユーザーとコンピュータで[表]をクリックし[詳細]をクリックします3 ユーザ名を右クリックしアトリビュートエディタ (Attribute Editor)を選択します4 必要な属性 (displayName)の値を変更し[ OK]をクリックします

GUIを使して LDAP属性に基づいて RDP URLをするには次の順を実します

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 [ RDPプロファイルと接続]ページで[クライアントプロファイル]タブをクリックしRDPファイル名を設定するクライアントプロファイルを選択します

3 [ RDPクライアントプロファイルの構成]ページで[ RDPファイル名]フィールドにファイル名をします


RDPプロキシを使して RDPファイル名をランダム化する

March 26 2020


Citrix Gateway 130

RDP URLをクリックするとRDPファイルがダウンロードされますRDP URLを再度クリックすると同じ名前の新しい RDPファイルがダウンロードされ新しいファイルが既存のファイルに置き換えられるポップアップが表されますこれを避けるために管理者は rdpファイル名をランダム化することを選択できますファイル名は現在フォーマット ltrdpFileNamegt_ltoutputof time()gtrdpで time ()関数の出を追加することによってランダム化されていますこれによりアプライアンスはファイルをダウンロードするたびに意の RDPファイル名を成します

RDPプロキシによる RDPファイル名のランダム化のサポートの構成

コマンドプロンプトでコマンドラインインターフェイスを使して RDPプロキシで RDPファイル名をランダム化するためのサポートを構成するには次のようにします

1 add rdpclientprofile ltprofileNamegt -rdpfileName ltfilenamegt - randomizeRDPFilename ltYESNOgt

23 add rdpclientprofile clientProfileName -rdpfileName testRDP -

randomizeRDPFilename YES

Citrix ADC GUIを使して RDPプロキシを使して RDPファイル名をランダム化するためのサポートを構成するには

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 [ RDPプロファイルと接続]ページで[クライアントプロファイル]タブをクリックしRDPファイル名のランダム化機能を構成するクライアントプロファイルを選択します

3 [ RDPクライアントプロファイルの設定]ページで[ランダム化された RDPファイル名]フィールドの横のドロップダウンで [はい]を選択します



March 26 2020

RDPアプリをダウンロードするとアプリは設定されたファイル名でローカルに保存できます


CLIを使して RDPアプリケーションのファイル名を構成するにはコマンドプロンプトで次のようにします


Citrix Gateway 130

1 set rdpclientprofile ltNamegt -rdpfilename ltfilenamegtrdp

GUIを使して RDPアプリケーションのファイル名を構成するには

1 Citrix Gateway gt［ポリシー］gt［RDP］に移動します2 [ RDPプロファイルと接続]ページで[クライアントプロファイル]タブをクリックしますRDPファイル名のランダム化機能を構成するクライアントプロファイルを選択します

3 [ RDPクライアントプロファイルの構成]ページで[ RDPファイル名]フィールドに rdpプロファイルの名前をしますファイルの名前は次の形式である必要があります名前に使できる字数は最 31字です


Citrix Gatewayが VMwareホライゾンビューに対して PCoIPプロキシサポートを有効にしました

March 26 2020

Citrix Gateway 120はPC-over-IP（PCoIP）プロトコルをサポートしていますPCoIP（PC-over-IP）プロトコルはVMware Horizon Viewを含むいくつかの Citrix VDIソリューションのリモート表プロトコルですPCoIPはCitrix HDXICAプロトコルと Microsoft RDPプロトコルに類似していますPCoIPは UDPポート4172を使します

PCoIPがCitrix Gatewayを介してプロキシされる場合Citrix GatewayはViewセキュリティサーバや VMwareアクセスポイントなどの従来の PCoIPリモートアクセスソリューションを置き換えることができます

以下のシナリオはCitrix Gateway対応の VMWareHorizon Viewソリューションの使法をしています

bull VMware Horizon View セキュリティサーバまたは VMware アクセスポイントを展開せずにCitrixGatewayを介して VMware Horizon Viewデスクトッププールおよびアプリケーションプールにリモートでアクセスする必要がある VMware Horizon PCoIPユーザー

bull PCoIPユーザーはCitrix Gatewayを介して他の PCoIPベースの仮想デスクトップソリューションにリモートアクセスします

注

Citrix Gatewayはリモートアクセスソリューションとして展開されます



Citrix Gateway 130

VMWare Horizonビューの Citrix Gatewayが有効になっている PCoIPプロキシの構成

March 26 2020

前提条件

バージョン -Citrix ADC 120以降

ユニバーサルライセンス -PCoIPプロキシはCitrix Gatewayのクライアントレスアクセス機能を使しますつまりすべての Citrix Gateway接続に Citrix Gatewayユニバーサルのライセンスが必要ですCitrix Gateway仮想サーバーで「ICAのみ」がオフになっていることを確認します

Horizon Viewインフラストラクチャ -機能的な内部の Horizon ViewインフラストラクチャCitrix Gatewayを使せずに内部的に Horizon Viewエージェントに接続できることを確認しますCitrix ADCがプロキシ接続の接続先となる View接続サーバでHorizon View HTTP (S)セキュアトンネルと PCoIP Secure Gatewayが有効になっていないことを確認します以下のバージョンの VMware Horizonビューがサポートされています

bull 接続サーバ701以降bull Horizonクライアント420以降（WindowsおよびMac）

ファイアウォールポート

次の事項に留意してください

bull UDP 4172および TCP 443はホライゾンビュークライアントから Citrix Gateway VIPに対して開かれている必要があります

bull UDP 4172はCitrix ADC SNIPからすべての内部ホライゾンビューエージェントに対して開かれている必要があります

bull PCoIPプロキシはNATの背後に展開された Citrix ADCでサポートされています考慮すべき重要なポイントは次のとおりです

ndash サポートはVPN vServerの FQDNパラメータ設定に基づきますndash パブリックにアクセス可能な FQDNのみをサポートしIPはサポートしませんndash 443ポートおよび 4172ポートのみをサポートndash スタティック NATである必要があります

証明書mdash Citrix Gateway仮想サーバーの有効な証明書

認証クラシック構を使した LDAP認証ポリシーサーバ

Unified Gateway（オプション）Unified Gatewayの場合はPCoIP機能を追加する前に Unified Gatewayを作成します


Citrix Gateway 130

RfWebUIポータルのテーマmdash Horizon ViewへのWebブラウザーのアクセスではCitrix Gateway仮想サーバーを RfWebUIテーマで構成する必要があります

Horizon Viewクライアントmdash Citrix ADC RfWebUIポータルを使して Horizon公開アイコンにアクセスしている場合でもHorizon Viewクライアントをクライアントデバイスにインストールする必要があります

VMWare Horizonビューの PCoIPプロキシをサポートするように Citrix Gatewayを構成するには

1 Citrix ADC管理 GUIで［構成］gt［Citrix Gateway］gt［ポリシー］gt［PCoIP］の順に選択します

2 [PCoIPプロファイルおよび接続]ページでVServerプロファイルと PCoIPプロファイルを作成します

3 VServerプロファイルを作成するには[ VServerプロファイル]タブで [追加]をクリックします

a VServerプロファイルの名前をします

b View接続サーバへのシングルサインオンに使する Active Directoryドメイン名をし[作成]をクリックします

注Citrix Gateway仮想サーバーごとに1つの Active Directoryドメインのみがサポートされますまたここで指定したドメイン名が Horizon Viewクライアントに表されます

c [ログイン]をクリックします

4 PCoIPプロファイルを作成するには[プロファイル]タブで [追加]をクリックします

a PCoIPプロファイルの名前をします

b 内部 VMware Horizon View接続サーバの接続 URLをし[作成]をクリックします

5 ［設定］gt［Citrix Gateway］gt［ポリシー］gt［セッション］に移動します

6 右側の [セッションプロファイル]タブを選択します

7Citrix GatewayのセッションポリシーとプロファイルページでCitrix Gatewayセッションプロファイルを作成または編集します

a Citrix Gatewayセッションプロファイルを作成するには［追加］をクリックして名前を指定します

b Citrix Gatewayセッションプロファイルを編集するにはプロファイルを選択し「編集」をクリックします

8 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の値が [オン]に設定されていることを確認します

9 [セキュリティ]タブで[既定の承認操作]の値が [許可]に設定されていることを確認します

10 [ PCoIP ]タブで必要な PCoIPプロファイルを選択し[作成]をクリックしますこのタブから PCoIPプロファイルを作成または編集することもできます

11 「作成」または「OK」をクリックしてセッションプロファイルの作成または編集を終了します

12 新しいセッションプロファイルを作成した場合は対応するセッションポリシーも作成する必要があります

a ［設定］gt［Citrix Gateway］gt［ポリシー］gt［セッション］に移動します


Citrix Gateway 130

b 右側の [セッションポリシー]タブを選択します

c「追加」をクリックしセッションポリシーの名前を指定し「プロファイル」ドロップダウンから必要なセッションプロファイル名を選択します

d デフォルト構を使してセッションポリシーを作成する場合は「式」領域で「true」（引符なし）とし「作成」をクリックします注Unified Gatewayのデフォルトは「クラシック構」です

e クラシック構を使してセッションポリシーを作成する場合はまずクラシック構に切り替えるをクリックしてください次に[式]領域で「ns_true」(引符なし)とし[作成]をクリックします

13 作成した PCoIP VServerプロファイルとセッションポリシーを Citrix Gateway仮想サーバーにバインドします

aCitrix Gateway gt［仮想サーバー］の順に選択します

b 右側には新しい Citrix Gateway仮想サーバーを追加するか既存の Citrix Gateway仮想サーバーを編集します

c 既存の Citrix Gateway仮想サーバーを編集する場合は［基本設定］セクションで鉛筆アイコンをクリックします

d 追加と編集の両について[基本設定]セクションで [詳細]をクリックします

e [ PCoIP仮想サーバープロファイル]ドロップダウンを使して必要な PCoIP仮想サーバープロファイルを選択します

f 下にスクロールして[ICAのみ]がオフになっていることを確認します次に[ OK ]をクリックして [基本設定]セクションを閉じます

グラム新しい Citrix Gateway仮想サーバーを作成する場合は証明書をバインドしLDAP認証ポリシーをバインドします

h [ Policies ]セクションまで下にスクロールしプラスアイコンをクリックします

私「タイプの選択」ページのデフォルトは「セッションおよび要求」です［続］をクリックします

J [ポリシーのバインド]セクションで[クリックして選択]をクリックします

k PCoIPプロファイルが設定されている必要なセッションポリシーを選択し[ Select]をクリックします

l [ポリシーのバインド]ページで[バインド]をクリックします

m Webブラウザを使して VMware Horizon Viewに接続する場合は右側の [詳細設定]で [ポータルテーマ]セクションを追加しますCitrix Gatewayへの接続に Horizon Viewクライアントのみを使している場合はこの順を実する必要はありません

n [ポータルのテーマ]ドロップダウンを使して [ RfWebUI ]を選択し[ OK ]をクリックします

オーHorizon View公開アイコンが RfWebUIポータルに追加されます


Citrix Gateway 130

USBリダイレクトを有効にする順

クライアントマシンに接続されている USBデバイスには仮想デスクトップとアプリケーションからアクセスできますUSBリダイレクトを有効にする順は次のとおりです

1 VMware Horizon管理者コンソールにログインします2「インベントリ」gt「構成の表」gt「サーバー」に移動します3 [接続サーバ]タブを選択します4 表された接続サーバを選択し[ Edit]をクリックします5 [全般]タブで[ HTTP (S)セキュアトンネル]の [マシンへのセキュアトンネル接続を使する]オプションを選択します[外部 URL]フィールドに NSG外部 URLを指定します

Unified Gatewayのコンテンツスイッチング式の更新

Citrix Gateway仮想サーバーが Unified Gateway（コンテンツスイッチング仮想サーバー）の背後にある場合はコンテンツスイッチング式を更新してPCoIP URLパスを含める必要があります

1 Citrix ADC GUIで「設定」gt「トラフィック管理」gt「コンテンツスイッチング」gt「ポリシー」の順に選択します

2[式]領域の下に次の式を追加し[ OK ]をクリックします

httprequrlpatheq(ldquobrokerxmlrdquo)httprequrlpathcontains(ldquobrokerresourcesrdquo)httprequrlpatheq(ldquopcoip-clientrdquo)

httprequrlpathcontains(ldquoice-tunnelrdquo)

PCoIP Gatewayを使

1 接続するにはHorizon View Clientがクライアントデバイスにインストールされている必要がありますインストールが完了したらHorizon Viewクライアントのユーザーインターフェイスを使して Citrix Gatewayに接続するかCitrix Gateway RfWebUIポータルページを使してHorizonから公開されたアイコンを表できます

2 アクティブな PCoIP接続を表するにはCitrix Gateway gt［PCoIP］の順に選択します

3 右側の [接続]タブに切り替えますアクティブなセッションがユーザー名Horizon Viewクライアント IPおよび Horizon Viewエージェントの宛先 IPのデータとともに表されます

4 接続を終了するには[接続]タブを右クリックし[接続の切断]をクリックしますまたは[すべての接続を終了]をクリックしてすべての PCoIP接続を終了します



Citrix Gateway 130

VMware Horizon View接続サーバの構成

March 26 2020

Citrix Gateway経由で PCoIPプロキシをサポートするには

1VMware Horizon管理者コンソールにログインします

2[ I]-gt [ 設定の表]-gt [サーバー]に移動します

3 [接続サーバ]タブを選択します

4 表された接続サーバを選択し[ Edit]をクリックします

5 [全般]タブで[HTTP (S)セキュアトンネル]の [マシンへのセキュアトンネル接続を使する]オプションの選択を解除します

6 [ OK]をクリックして [接続サーバ設定の編集]ウィンドウを閉じます

7 覧表されたすべての接続サーバで4〜 6の順を実します



March 26 2020

Citrix Gatewayの Enlightened Data Transport（EDT）のサポートによりCitrix Workspaceアプリを実しているユーザーに対して仮想デスクトップの精細なインセッションユーザーエクスペリエンスが保証されます

またCitrix Workspaceアプリと VDA間の EDT終了のための DTLS 10によるエンドツーエンドの暗号化も容易になりますDTLS設定の詳細についてはDTLSv10プロトコルのサポートをクリックしてください

EDT対応の Citrix GatewayはLANとWANの両の条件で優れたユーザーエクスペリエンスを提供しから他へのローミング時に管理やユーザー構成をいませんこの利点は中程度のパケット損失を伴う遅延ネットワークで最も顕著でありユーザーエクスペリエンスは般に代替案と遅れることになる

DTLS 12プロトコルのサポート

リリース 130ビルド 47x以降DTLS 12プロトコルは Citrix ADC VPXアプライアンスでサポートされていますVPN仮想サーバー VPXアプライアンスの enable_dtls12_vpn_vserver nsapimgrノブを使してDTLS 12を有効または無効にすることができます

デフォルトではDTLS 12は無効になっておりenable_dtls12_vpn_vserverノブは 0に設定されています


Citrix Gateway 130

DTLS 12を有効にするにはenable_dtls12_vpn_vserverノブを 1に設定しますノブ値を変更したらDTLSをオフにしノブを有効にするためのset vpn vserver ltvservernamegt dtls ltONOFFgtコマンドを使して再度オンに切り替えます

重要130ビルド 47x以降にアップグレードした後以前のリリースのビルドで DTLSを有効にしTLSv12暗号のみを使している場合はnsapimgrコマンドを使して DTLS 12を有効にすることをお勧めします


Enlightened Data Transportサポートを使するタイミング

April 9 2020

以下のシナリオはEDT対応の Citrix Gatewayの使法をしています

bull ユーザーはビジネスリソースにリモートアクセスしながらLAN環境と同じくらい優れたエクスペリエンスを求めています

bull ユーザーは輻輳いパケット損失および遅延のためにネットワークの品質が悪いWi-Fiおよびセルラーネットワーク上で豊富な仮想アプリケーションとデスクトップユーザーエクスペリエンスを必要としています

EDTを使している間以下の点に留意する必要があります

bull 仮想サーバーレベルの DTLSノブはデフォルトで有効になっていますbull DTLSを使した SNIはサポートされていませんbull DTLSを使した IPv6はサポートされていませんbull DTLSが有効になっている場合スマート制御ポリシーと ICAポリシーは機能しませんbull またReceiverと VDA間の EDTトラフィックに対してダブルホップ機能を使するようにアプライアンスを構成できるようになりました詳細についてはダブルホップ DMZでの展開をクリックしてください

注 EDTはリリース 121ビルド 49xx以降のMPX FIPSプラットフォームでサポートされていますインテル Coleto SSLチップベースのMPXデバイスではリリース 121ビルド 5116以降から EDTがサポートされます


EDTおよびHDX Insightをサポートするように Citrix Gatewayを構成

March 26 2020


Citrix Gateway 130

Gateway経由の EDTトラフィックはエンドツーエンドの可視性を持つようになりましたCitrix ADMはリアルタイムおよび履歴の両の可視性データを使できるためさまざまなユースケースをサポートできます

次のシナリオがサポートされています

シナリオ EDTサポート

Citrix Gateway はい

可性（HA）を備えた Citrix Gateway はい

可性（HA）最適化機能を備えた Citrix Gateway はい

Unified Gatewayを使する Citrix ADC はい

GSLBを使する Citrix Gateway はい

クラスターを使した Citrix Gateway はい

Citrix Workspaceアプリから Citrix GatewayのDTLS暗号化への接続

はい

Citrix Gateway上のデュアル Secure TicketAuthority（STA）

はい

Citrix Gateway ICAセッションのタイムアウトはい

Citrix Gatewayマルチストリーム ICA はい

Citrix Gatewayセッションの画の保持性（ポート2598）

はい

Citrix Gatewayダブルホップはい

Citrix ADCから VDAへの DTLSへの暗号化はい

HDX Insight はい

IPv6モードの Citrix Gateway いいえ

Citrix Gateway SOCKS（ポート 1494）いいえ

Citrix ADC pure LAN proxy いいえ

Enlightened Data Transportをサポートするように Citrix Gatewayを構成する

Enlightened Data Transport (EDT)を使する場合EDTで使される UDP接続を暗号化するにはデータグラムトランスポート層セキュリティ (DTLS)を有効にする必要がありますDTLSパラメータはGateway VPN仮想サーバレベルで有効にする必要がありますまたCitrix Virtual Apps and Desktopsコンポーネントが正しくアップグレードされGateway VPN仮想サーバーとユーザーデバイス間のトラフィックが暗号化されるように構成されている必要があります


Citrix Gateway 130

注仮想サーバーが DTLS接続を受信するにはCitrix Gatewayフロントエンド仮想サーバーに構成されたUDPポート（ポート 443など）をDMZで開く必要がありますDTLSと CGPはEDTが Citrix Gatewayと連携するための前提条件です

GUIを使して EDTをサポートするように Citrix Gatewayを構成するには

1 Citrix Gatewayを展開してStoreFrontと通信し Citrix Virtual Apps and Desktopsのユーザーを認証するように構成します

2 Citrix ADC GUIの［構成］タブで［Citrix Gatewayを展開し［仮想サーバー］を選択します

3 [編集]をクリックして VPN仮想サーバーの基本設定を表しDTLS設定の状態を確認します

4 その他の設定オプションを表するには「詳細」( More )をクリックします

5 データグラムプロトコルの通信セキュリティを提供するには[ DTLS ]を選択します［OK］をクリックしますVPN仮想サーバーの [基本設定]領域にはDTLSフラグが Trueに設定されていることがされます

CLIを使して EDTサポートに Citrix Gatewayを構成するには

1 set vpn vserver vs1 -DTLS ON

HDX Insightをサポートするように Citrix Gatewayを構成する

HDX InsightはCitrix ADCを通過する仮想アプリケーションおよびデスクトップへのHDXトラフィックをエンドツーエンドで可視化しますまた管理者はリアルタイムのクライアントおよびネットワーク遅延メトリック履歴レポートエンドツーエンドのパフォーマンスデータを表しパフォーマンス問題のトラブルシューティングをうことができます

GUIを使してHDX Insightをサポートするように Citrix Gatewayを構成するには

1 [構成]タブで[システム] gt [AppFlow] gt [コレクター]に移動し[追加]をクリックします

2「AppFlowコレクタの作成」ページで次のフィールドをし「作成」をクリックします「名前」(Name) mdashコレクターの名前

IPアドレスコレクタの IPv4アドレス

Portコレクタがリッスンするポート

ネットプロファイル-コレクタに関連付けるネットプロファイルプロファイルに定義されている IPアドレスはこのコレクタの AppFlowトラフィックの送信元 IPアドレスとして使されますこのパラメータを設定しない場合Citrix ADC IP（NSIP）アドレスが送信元 IPアドレスとして使されます


Citrix Gateway 130

「トランスポート」mdashコレクターのトランスポートタイプ

3「システム」gt「AppFlow」gt「アクション」に移動し「追加」をクリックします

4「AppFlowアクションの作成」ページで次のフィールドをし「作成」をクリックしますAppFlowアクション名mdashアクションの名前

コメントmdashアクションに関するコメント

「コレクタ」mdash AppFlowアクションに関連付けるコレクタの名前を選択します

[トランザクションログ] mdashログに記録されるトランザクションタイプ

5「システム」gt「AppFlow」gt「ポリシー」に移動し「追加」をクリックします

6「AppFlowポリシーの作成」ページで次のフィールドにし「作成」をクリックします

Nameポリシーの名前

Actionポリシーに関連付けるアクションの名前

UNDEF-未定義のイベントが発したときにこのポリシーに関連付ける AppFlowアクションの名前

Expressionトラフィックが評価される式またはその他の値ブール式である必要があります

コメントmdashこのポリシーに関するコメント

7［Citrix Gateway］gt［仮想サーバー］に移動し仮想サーバーを選択して［編集］をクリックします

8 [ VPN仮想サーバー]ページを下にスクロールし[ポリシー]セクションで [ + ]をクリックします

9 [種類の選択]画の [ポリシーの選択]ドロップダウンメニューで [ AppFlow ]を選択します「タイプの選択」ドロップダウンメニューで「要求」または「ICA 要求」を選択し「続」をクリックします

10 [ポリシーの選択]で強調表された印をクリックします

11 AppFlowポリシーを選択し「選択」をクリックします

12 最後に [バインド]をクリックします

CLIを使して Citrix GatewayでHDX Insightのサポートを構成するには次のコマンドをします

1 add appflow collector col3 -IPAddressltip_masgt2 add appflow action act1 ltaction_namegt3 add appflow policy ltpolicy_namegt true ltaction_namegt4 bind vpn Vserver ltvserver_namegt -pol ltpolicy_namegt - priority101 END -

type ltICA_Requestgt


Citrix Gateway 130

NSAP HDXセッションのHDX Insightを無効にする

Citrix ADCアプライアンスでNSAP HDX以外のセッションで HDX Insightを無効にできるようになりました


1 set ica parameter2 DisableHDXInsightNonNSAP(YES | NO )

デフォルトでは NSAPセッションの HDX Insightが有効になっています


L7遅延しきい値

March 26 2020

HDX Insightの L7レイテンシーのしきい値処理機能はエンドツーエンドのネットワークレイテンシーの問題をアプリケーションレベルでアクティブに検出しプロアクティブなアクションを実しますL7レイテンシーのしきい値処理機能はライブレイテンシーの監視を実してスパイクを検出しレイテンシーが最観測レイテンシーを超えた場合に Insight Centerに通知を送信します

以前は平均的なクライアント側とサーバー側の L7レイテンシー値が 60秒ごとに Insight Centerに送信されていましたこの間隔内で検出されたスパイクは平均化され検出されないままであったまたこれらのスパイクを検出するためのライブ遅延監視もありませんでした

L7レイテンシーと L4レイテンシーの違い

ネットワーク待ち時間がキャプチャされL4レベルでも表されますこれらのレイテンシーは TCPレイヤーから計算されICAトラフィックの解析は必要ありませんしたがって較的が容易でCPUの負荷が少なくなりますしかしL4レイテンシーの主な点はエンドツーエンドのレイテンシーを理解することですパスに TCPプロキシがある場合L4レイテンシーは Citrix ADCから TCPプロキシへのレイテンシーだけをキャプチャしますこれにより情報が不完全になり問題のデバッグが困難になる可能性があります

L7レイテンシーはICAトラフィックを解析することによって計算されますL7レイテンシーの計算は ICAレイヤーでわれるため中間プロキシでは不完全なレイテンシー値は発しませんしたがってはエンドツーエンドの遅延検出を提供します

次の図はTCPプロキシを使する場合と使しない場合の展開の種類をしています


Citrix Gateway 130

ICA RTTと L7のレイテンシ計算の違い

ICA RTTはCitrix Workspaceアプリから仮想デスクトップエージェント（VDA）への往復時間の合計を表しますL7レイテンシーはクライアント側とサーバー側のレイテンシーに関する詳細な詳細を提供しますL7クライアントのレイテンシーはCitrix Workspaceアプリから Citrix GatewayまでのレイテンシーですL7サーバーのレイテンシーはCitrix Gatewayから VDAまでのレイテンシーです

注サーバー側の L7レイテンシーの計算はCitrix Virtual Apps and Desktopsバージョン 713以降でのみサポートされています

CLIを使した L7遅延しきい値の設定

1 ICA遅延プロファイルを追加します

1 add ica latencyprofile ltnamegt [-l7LatencyMonitoring ( ENABLED |DISABLED )] [-l7LatencyThresholdFactor ltpositive_integergt] [-l7LatencyWaitTime ltpositive_integergt] [-l7LatencyNotifyInterval ltpositive_integergt] [-l7LatencyMaxNotifyCount ltpositive_integergt]

2 ICAアクションを追加します

1 add ica action ltnamegt [-latencyprofileName ltstringgt]


1 add ica policy ltnamegt -rule ltexpressiongt -action ltstringgt [-commentltstringgt] [-logAction ltstringgt

4 ICAポリシーを VPNサーバーまたは ICAグローバルバインドポイントにバインドします

1 bind ica global -policyName ltstringgt -priority ltpositive_integergt [-gotoPriorityExpression ltexpressiongt] [-type ( ICA_REQ_OVERRIDE |ICA_REQ_DEFAULT )]

または

1 bind vpn vserver ltnamegt -policy ltstringgt [-priority ltpositive_integergt]

または

1 bind cr vserver ltnamegt -policy ltstringgt [-priority ltpositive _integergt]


Citrix Gateway 130

引数

bull レイテンシーモニタリングL7しきい値モニタリングを有効または無効にするパラメータこのパラメータを有効にすると設定された条件が満たされると Insight Centerに通知が送信されます

デフォルト値 DISABLED

bull LatencyThresholdFactor しきい値を超えたため通知を Insight Centerに送信する必要があると結論付けるためにアクティブレイテンシーが最観測レイテンシーよりもきくなければならないファクター

デフォルト値4

最値2

最値65535

bull LatencyWaitTime 遅延しきい値を超えてから Insight Centerに通知を送信するまでアプライアンスが待機する時間（秒単位）


最値1

最値65535

bull LatencyNotifyInterval待機時間が経過した後アプライアンスが Insight Centerに後続の通知を送信する間隔（秒単位）


最値1

最値65535

bull LatencyMaxNotifyCount レイテンシーがしきい値を超える間隔内に Insight Centerに送信できる通知の最数

デフォルト値5

GUIを使した L7遅延しきい値の設定

1 「構成」gt「NetScaler Gateway」gt「ポリシー」gt「ICA」に移動します

2 「ICAレイテンシープロファイル」タブを選択し「追加」をクリックします

3ICAレイテンシプロファイルの作成ページで次の操作をいます

bull [ L7レイテンシモニタリング]を選択してL7しきい値モニタリングを有効にします

bull [ L7しきい値係数]にInsight Centerに通知を送信するためにアクティブなレイテンシーが最観測レイテンシーを超える値をします


Citrix Gateway 130

bull [ L7レイテンシー待機時間]にしきい値を超えてから Insight Centerに通知を送信するまでアプライアンスが待機する時間を秒単位でします

bull [ L7遅延通知間隔]に待機時間が経過した後にアプライアンスが Insight Centerに後続の通知を送信する時間を秒単位でします

bull [ L7レイテンシーの最通知数]にレイテンシーがしきい値を超える間隔内に Insight Centerに送信できる通知の最数をします

注L7レイテンシーの最通知カウントはしきい値を超えた時点で適されアクティブなレイテンシーがしきい値を下回るとリセットされますこれらの通知の周期性は通知間隔によって制御されます


L7レイテンシー測定モデルと L7レイテンシーしきい値レポートモデル

L7レイテンシー測定モデル

L7レイテンシー測定モジュールでは平均クライアント側とサーバー側の L7レイテンシー値が 60秒ごとに InsightCenterに送信されますその結果この間隔内で検出されたスパイクは平均化され検出されないままになりますまたL7レイテンシ測定モジュールにはライブレイテンシ監視機能はありません

次の図はL7遅延測定モデルのサンプルをしています

L7遅延しきい値レポートモデル

L7遅延しきい値レポートモデルにはスパイクを検出するライブレイテンシーモニタリング機能がありますレイテンシーが観測された最レイテンシーを超えるとInsight Centerに通知が送信されます

しきい値を超えると遅延の増加が検出されます設定されたしきい値の待機時間が経過するとInsight Centerに通知が送信されます待機時間が経過ししきい値を超えた後後続の通知が Insight Centerに送信されます待機時間が期限切れになる前に待機時間がしきい値係数を下回る場合通知は Insight Centerに送信されません

次の図はL7遅延しきい値レポートモデルのサンプルをしています

実時に次のパラメータを設定できます

bull しきい値モニタリング（ONOFF）bull しきい値要素bull しきい値の待機時間bull 通知間隔bull 最通知数



Citrix Gateway 130


March 26 2020

Microsoft Intuneと Citrix Gatewayの統合によりCitrix Gatewayと Intuneが提供するクラス最のアプリケーションアクセスとデータ保護ソリューションが提供されます

Eメールカレンダー連絡先メモ作成ドキュメント編集リモートアクセスなど最も包括的な安全性のい産性アプリケーションスイートをできますこれらはすべて異なるプラットフォーム間で元管理できますIntuneと Citrix Gatewayの統合により世界クラスのモバイルデバイス管理 (MDM)機能が提供されますCitrix Gatewayのクライアント側テクノロジによりこれらの Intuneアプリケーションが Citrix Gatewayを介して企業データとアプリケーションに安全にアクセスできるようになります

この統合によりCitrix Gatewayは Intuneからコンプライアンスデータを取得し条件付きアクセスポリシーを有効にすることができます条件付きアクセスポリシーによりCitrix Gatewayではデバイスの機能などに基づいてアクセスを制御できますたとえば管理者は「カメラ」が無効になっているデバイスのみにアクセス権を付与するポリシーを作成できます

Citrix Gateway仮想サーバーが構成されるとCitrix Gatewayは Azureの Active Directoryライブラリ（ADAL）トークン認証をサポートします構成時にCitrixネットワーク専ラッパーまたは SDKでラップされたモバイルアプリケーションはAADから直接取得できる ADALトークンを使して Citrix Gatewayにアクセスします

Microsoft Endpoint Managerと Citrixマイクロ VPNの統合

Citrix Gatewayのお客様はMicrosoftエンドポイントマネージャー（Intune）でマイクロ VPNを使できますCitrix micro VPNとMicrosoft Endpoint Managementとの統合によりアプリはオンプレミスのリソースにアクセスできます

Citrix micro VPNテクノロジーはVPNトンネルが常にアクティブであるとは限らないためデータ転送コストを削減しセキュリティを簡素化するオンデマンド VPNを提供します代わりに必要なときにのみアクティブになりリスクが軽減されデバイスのパフォーマンスが最適化されユーザーエクスペリエンスが向上しますこれによりモバイルバッテリーの寿命も向上しますCitrixのマイクロ VPNテクノロジーによりモバイルユーザーは社内リソースへの安全なアクセスを提供すると同時に最のユーザーエクスペリエンスを提供します

Micro VPNは次のユースケースでのみサポートされます

bull Intuneモバイルアプリケーション管理 (MAM)のみbull Intuneモバイルデバイス管理 (MDM)とモバイルアプリケーション管理 (MAM)

重要

bull Citrix Gatewayのお客様は2021年 1まで追加料なしでMicrosoftエンドポイントマネージャーでマイクロ VPNを使する権利を有します


Citrix Gateway 130

bull マイクロ VPNを使するにはSSL VPN機能のために Citrix Gatewayアドバンストエディションまたはプレミアムエディション（VPX 3000以降）が必要です

Microsoftエンドポイントマネージャーとの Citrixマイクロ VPN統合の設定の詳細については「Microsoftエンドポイントマネージャーでマイクロ VPNを使するための Citrix Gatewayのセットアップ」を参照してください


統合 Intune MDMソリューションを使するタイミング

March 26 2020

次のシナリオは統合 Intune MDMソリューションの使をしています

bull 新しいお客様がオンプレミスの Citrix Gateway導で Intuneをオンプレミスで導することを決定bull 既存の Citrix Gatewayユーザーが Intuneでモバイルデバイス管理を追加しようとしていますbull 既存の Intuneユーザーが会社の DMZ内の Citrix Gatewayの物理アプライアンスまたは仮想アプライアンスを使して社内ネットワーク内にあるデータにモバイルデバイスやアプリケーションにアクセスできるようにしたいと考えています

注

iOSクライアントと Androidクライアントのみがサポートされています


Citrix Gatewayと Intune MDMの統合について

March 26 2020

般的な Citrix Gatewayと Intune MDMの統合におけるイベントのフローの例を次にします

1 Intuneにモバイルデバイスを登録します2 企業で承認されたアプリケーションとデバイスポリシーがデバイスにプッシュされます3 デバイスから SharePoint (オンプレミスアプリケーション)を参照します4 ブラウザーの要求はCitrix Gatewayされます5 Citrix GatewayアプライアンスはIntuneにデバイスの登録ステータスをチェックします6 準拠したデバイスが正常に登録されるとSharePointアクセスが許可されます


Citrix Gateway 130

デバイスによって条件付きアクセス (CA)ポリシーが満たされない場合Citrix Gateway VPN クライアントはIntuneがホストするページへのリンクとともにエラーメッセージをユーザーに表しデバイスのコンプライアンス状態を登録または修復します

注管理者はユーザーがデバイス上のさまざまな証明書を区別できるように証明書を Intuneにプッシュする際に次の点を確認する必要があります

bull 証明書にはサブジェクトの概要が必要ですbull 異なる証明書のサブジェクトの概要は異なるものでなければなりません


単要素ログインの Citrix Gateway仮想サーバーのネットワークアクセス制御デバイスチェックの構成

March 26 2020

重要

以下のセクションではCitrix Gatewayで Intuneを構成するための順をしますAzureポータルでCitrix Gatewayアプリケーションを構成してクライアント IDクライアントシークレットテナント IDを取得する法についてはAzure製品のドキュメントを参照してください

以下の機能を使するにはCitrix ADCアドバンスエディションのライセンスが必要です

Gateway展開に nFactorを使して Citrix Gateway仮想サーバーを追加するには

1［Citrix Gateway］ツリーノードの下にある［仮想サーバー］に移動します


3 [基本設定]領域に必要な情報をし[ OK ]をクリックします

4「サーバー証明書」を選択します

5 必要なサーバー証明書を選択し[バインド]をクリックします




9 [ [ポリシー]]の横のプラスアイコン +をクリックし[ポリシーの選択]リストから [ セッション]を選択し[タイプの選択]リストから [ 要求]を選択し[続]をクリックします


Citrix Gateway 130

10 [ポリシーの選択]の横のプラスアイコン [ポリシー]をクリックします

11 NetScaler Gatewayセッションポリシーの作成ページでセッションポリシーの名前をします

12 プロファイルの横にある [ポリシー]プラスアイコンをクリックしNetScaler Gatewayセッションプロファイルの作成ページでセッションプロファイルの名前をします

13 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にあるチェックボックスをオンにしリストから [オフ]を選択します

14 [プラグインの種類]の横にあるチェックボックスをクリックしリストから [WindowsMac OS X]を選択します

15［詳細設定］をクリックし［クライアント選択］の横にあるチェックボックスをオンにしてその値を［ON］に設定します

16 [セキュリティ]タブで[既定の承認操作]の横にあるチェックボックスをオンにし覧から [許可]を選択します

17 [公開アプリケーション]タブで[ ICAプロキシ]の横にあるチェックボックスをクリックしリストから [OFF ]を選択します


19 NetScaler Gatewayセッションポリシーの作成ページの「式」領域に NS_TRUEとします



22 [詳細設定]で [認証プロファイル]を選択します

23 プラスアイコン [ポリシー]をクリックし認証プロファイルの名前をします

24 プラスアイコン [ポリシー]をクリックして認証仮想サーバを作成します

25 [基本設定]領域で認証仮想サーバーの名前と IPアドレスの種類を指定し[ OK ]をクリックしますIPアドレスの種類はアドレス指定不可能なものでもかまいません

26 [認証ポリシー]をクリックします

27「ポリシーバインディング」ビューでプラスアイコン [ポリシー]をクリックして認証ポリシーを作成します

28 アクションタイプとしてOAUTHを選択しプラスアイコン [ポリシー]をクリックして NACのOAuthアクションを作成します

29 クライアント IDクライアントシークレットテナント IDを使してOAuthアクションを作成します

クライアント IDクライアントシークレットテナント IDはAzureポータルで Citrix Gatewayアプリケーションを構成した後に成されます

httpsloginmicrosoftonlinecomhttpsgraphwindowsnetおよび man-agemicrosoftcomを解決してアクセスできるようにアプライアンス上に適切な DNSネームサーバーが設定されていることを確認します


Citrix Gateway 130

30 OAuthアクションの認証ポリシーを作成します

規則 httpreqheader(ldquoUser-Agentrdquo)contains(ldquoNAC10rdquo)ampamp((httpreqheader(ldquoUser-Agentrdquo)contains(ldquoiOSrdquo) ampamphttpreqheader(ldquoUser-Agentrdquo)contains(ldquoNSGiOSpluginrdquo))

(httpreqheader(ldquoUser-Agentrdquo)contains(ldquoAndroidrdquo)ampamp httpreqheader(ldquoUser-Agentrdquo)contains(ldquoCitrixVPNrdquo)))

31 プラスアイコン [ポリシー]をクリックしてnextFactorポリシーラベルを作成します

32 プラスアイコン [ポリシー]をクリックしてログインスキーマを作成します

33 認証スキーマとして「noschema」を選択し「作成」をクリックします

34 作成したログインスキーマを選択したら[ Continue]をクリックします

35「ポリシーの選択」でユーザーログインの既存の認証ポリシーを選択するかプラスアイコン「+」をクリックして認証ポリシーを作成します認証ポリシーの作成の詳細については度な認証ポリシーの構成を参照してください









cgilogin要求の部としてデバイス IDを送信する VPNプラグインをすために認証ログインスキーマを認証仮想サーバーにバインドするには

1 [セキュリティ] gt [ AAA-アプリケーショントラフィック] gt [仮想サーバ]に移動します

2 以前に選択した仮想サーバを選択し[ Edit]をクリックします

3 [詳細設定]の [ログインスキーマ]をクリックします

4 [ログインスキーマ]をクリックしてバインドします


Citrix Gateway 130

5 [ [gt]]をクリックしてNACデバイスチェックの既存のビルドインログインスキーマポリシーを選択しバインドします

6 認証デプロイメントに適した必要なログインスキーマポリシーを選択し[ Select]をクリックします

上記の展開では単要素認証（LDAP）と NAC OAuth アクションポリシーが使されるためlschema_single_factor_deviceidが選択されています




Azure ADALトークン認証について

March 26 2020

般的な Citrix GatewayのMicrosoft ADALトークン認証におけるイベントの流れを以下にします

1 iOSまたは Androidでアプリを起動するとアプリは Azureにアクセスしますユーザーはユーザーの資格情報を使してログオンするように求められますログオンに成功するとアプリは ADALトークンを取得します

2 この ADALトークンはADALトークンを検証するように構成された Citrix Gatewayに提されます

3 Citrix GatewayはADALトークンの署名をMicrosoftの対応する証明書で検証します

4 検証に成功するとCitrix Gatewayはユーザーのプリンシパル名（UPN）を抽出しアプリケーション VPNに内部リソースへのアクセスを許可します


Microsoft ADALトークン認証の Citrix Gateway仮想サーバーの構成

March 26 2020

Microsoft ADALトークン認証を監視するように Citrix Gateway仮想サーバーを構成するには次の情報が必要です

bull certEndpoint ADALトークン検証の Json Webキー (JWK)を含むエンドポイントの URLbull 対象ユーザーアプリケーションが ADALトークンを送信する Citrix ADC仮想サーバーの FQDNですbull 発者AAD発者の名前デフォルトでされます


Citrix Gateway 130

bull テナント ID Azure ADAL登録のテナント IDbull ClientID ADAL登録の環として Gatewayアプリに付与される意の IDですbull ClientSecret ADAL登録の環として Gatewayアプリに与えられるシークレットキー

1 OAuthアクションを作成します

add authentication OAuthAction ltoauth_action_namegt-OAuthType INTUNE ndashclientid ltclient_idgt -clientsecret ltclient_secretgt-audience ltaudiencegt-tenantid lttenantIDgt-issuer ltissuer_namegt -userNameField upn-certEndpoint ltcertEndpoint_namegt

例

add authentication OAuthAction tmp_action -OAuthType INTUNE -clientid id 1204 -clientsecreta -audience ldquohttphellordquo -tenantid xxxx -issuer ldquohttpshellordquo -userNameField upn -certEndpointhttpsloginmicrosoftonlinecomcommondiscoveryv20keys

2 新しく作成された OAuthに関連付ける認証ポリシーを作成します

addauthentication Policy ltpolicy_namegt-rule true -action ltoauth intune actiongt

例

add authentication Policy oauth_intune_pol -rule true -action tmp_action

3 新しく作成した OAuthを AuthVSにバインドします

bind authentication vserver ltauth_vservergt-policy ltoauth_intune_policygt-priority 2 -gotoPriorityExpression END

例

bind authentication vserver auth_vs_for_gw1_intune -policy oauth_pol -priority 2 -gotoPriorityExpressionEND

4 ログインスキーマを作成します

add authentication loginSchema ltloginSchemaNamegt-authenticationSchema ltauthenticationSchemardquolocationrdquogt

add authentication loginSchemaPolicy ltloginSchemaPolicyNamegt-rule true -action ltloginSchemaNamegt


Citrix Gateway 130

例

add authentication loginSchema oauth_loginschema -authenticationSchema ldquonsconfiglogin-schemaLoginSchemaOnlyOAuthTokenxmlrdquo

add authentication loginSchemaPolicy oauth_loginschema_pol -rule true -action oauth_loginschema

5 ログインスキーマで認証 VSをバインド

bindauthenticationvserverltauth_vsgt -policyltoauth _polgt -priority2 -gotoPriorityExpressionEND

例

bind authentication vserver auth_vs_for_gw1_intune -policy oauth_loginschema_pol -priority2 -gotoPriorityExpression END

6 authnprofileを追加しVPN仮想サーバーに割り当てます

add authnprofile ltnfactor_profile_namegt-authnvsName ltauthvservergt

set vpn vserver ltvserverNamegt-authnprofile ltnfactor_profile_name gt

例

add authnprofile nfactor_prof_intune -authnvsName auth_vs_for_gw1_intune

set vpn vserver gw1_intune-authnprofile nfactor_prof_intune


Microsoftエンドポイントマネージャーでマイクロ VPNを使するための CitrixGatewayのセットアップ

April 9 2020

Citrix micro VPNとMicrosoft Endpoint Managementとの統合によりアプリはオンプレミスのリソースにアクセスできます詳しくは「マイクロソフトのエンドポイントマネージャーと Citrixマイクロ VPNの統合」を参照してください

システム要件

bull Citrix Gatewayバージョン 12059xまたは 12150x以降

Citrix Gatewayの最新バージョンはCitrix Gatewayダウンロードページからダウンロードすることもできます


Citrix Gateway 130

bull Windows 7以降を実しているWindowsデスクトップ（Androidアプリのラッピングにのみ対応）

bull Microsoft

ndash Azure ADアクセス（テナントの管理者特権あり）ndash Intune対応のテナント

bull ファイアウォールのルール

ndash ファイアウォールのルールを有効にしてCitrix Gateway のサブネット IP からmanagemicrosoftcomhttpsloginmicrosoftonlinecomhttpsgraphwindowsnet（ポート 443）に対する SSLのトラフィックを許可します

ndash Citrix Gatewayは前述の URLを外部から解決できる必要があります

前提条件

bull Intune環境 Intune環境がない場合はセットアップします順についてはMicrosoft社のドキュメントを参照してください

bull エッジブラウザアプリマイクロ VPN SDK はMicrosoft Edge アプリと iOS および Android のIntune Managed Browserアプリに統合されていますManaged Browserについて詳しくはMicrosoftのManaged Browserのページを参照してください

Azureの Active Directory (AAD)アプリケーションのアクセス許可を付与する

1 Citrixマルチテナント AADアプリケーションに同意しCitrix Gatewayが AADドメインで認証できるようにしますAzureグローバル管理者は次の URLにアクセスして同意する必要があります

「httpsloginwindowsnetcommonadminconsentclient_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40bampredirect_uri=httpswwwcitrixcomampstate=consent」を参照してください

2 Citrixマルチテナント AADアプリケーションに同意しモバイルアプリケーションが Citrix Gatewayのマイクロ VPNで認証できるようにしますこのリンクはAzureグローバル管理者が [ユーザーがアプリケーションを登録できる]の既定値を [はい]から [いいえ]に変更した場合にのみ必要ですこの設定はAzureポータルの [ Active Directory] gt [ユーザー] gt [ユーザー設定]の下にありますAzureグローバル管理者は次の URLにアクセスして同意する必要があります (テナント IDを追加)httpsloginmicrosoftonlinecom5Btenant_id5Dadminconsentclient_id=9215b80e-186b43a1-8aed-9902264a5af7

マイクロ VPNの Citrix Gatewayの構成

IntuneでMicro VPNを使するにはCitrix Gatewayで Azure Active Directoryが認証されるように設定する必要がありますこのユースケースでは既存の Citrix Gateway仮想サーバーは利できません


Citrix Gateway 130

まずAzure ADがオンプレミスの Active Directoryと同期するように設定しますこの順はIntuneと CitrixGatewayとの間の認証を適切にうために必要です

ダウンロードスクリプト zipファイルにはスクリプトを実装するための指を含む readmeが含まれていますスクリプトに必要な情報を動でしCitrix Gatewayでスクリプトを実してサービスを構成する必要がありますスクリプトファイルはシトリックスのダウンロードページからダウンロードできます

重要 Citrix Gatewayの構成を完了した後「完了」以外のOAuthステータスが表された場合は「トラブルシューティング」セクションを参照してください

マイクロソフトのエッジブラウザーの構成

1 httpsportalazurecomにサインインし［Intune］gt［モバイルアプリ］の順に移動します2 通常どおりに Edge Appを公開しアプリ構成ポリシーを追加します3［管理］の［アプリ構成ポリシー］をクリックします4［追加］をクリックし作成するポリシーの名前をします[デバイスの登録の種類]で[管理対象アプリ]を選択します

5 [関連付けられたアプリ]をクリックします6 ポリシーを適するアプリ (Microsoft Edgeまたは Intune管理対象ブラウザー)を選択し[ OK]をクリックします

7［構成設定］をクリックします8 [ Name ]フィールドに次の表にすいずれかのポリシーの名前をします9［値］フィールドに対象のポリシーに適する値をしますフィールドの外をクリックするとポリシーがリストに追加されますポリシーは複数追加できます

10［OK］をクリックしてから［追加］をクリックします

ポリシーのリストにポリシーが追加されます

名前（iOSまたは Android）値説明

MvpnGatewayAddress httpsexternalcompanynamecom

Citrix Gatewayの外部 URL

MvpnNetworkAccess MvpnNetworkAccessTunneledWebSSOorUnrestricted

MvpnNetworkAccessTunneledWebSSOはトンネリングのデフォルトです

MvpnExcludeDomains 除外するドメイン名のコンマ区切りリスト

オプションですDefault=blank

注 Web SSOは設定の「Secure Browse」の名前です動作は同じです

bull Mvpnネットワークアクセス -MvpnネットワークアクセストンネルWebSSOはCitrix Gatewayを介し


Citrix Gateway 130

た HTTPHTTPSリダイレクトを有効にしますこれはトンネリングされたWeb SSOとも呼ばれますGatewayは HTTP認証チャレンジにインラインで応答しシングルサインオン (SSO)エクスペリエンスを提供しますWeb SSOを使するにはこのポリシーをMvpnネットワークアクセストンネルWebSSOに設定しますフルトンネルリダイレクションは現在サポートされていませんマイクロ VPNトンネリングをオフにしておくには[ Unlimited ]を使します

bull MvpnExcludeDomains -Citrix GatewayリバースWebプロキシ経由のルーティングから除外されるホストまたはドメイン名のコンマ区切りリストCitrix Gatewayで構成されたスプリット DNS設定によってドメインまたはホストが選択される場合がありますがホスト名またはドメイン名は除外されます

注このポリシーはMvpnNetworkAccessTunnedWebSSO 接続に対してのみ適されますMvpnNetworkAccessが [制限なし]の場合このポリシーは無視されます


般的な問題

問題解像度

アプリを開くと「ポリシーの追加が必要です」というメッセージが表されます

Microsoft Graph APIでポリシーを追加する

ポリシーの競合があります 1つのアプリにつき 1つのポリシーのみ許可されます

アプリをラップすると「アプリをパッケージ化できませんでした」というメッセージが表されます完全なメッセージについては以下を参照してください

アプリは Intune SDKと統合されていますIntuneでアプリをラップする必要はありません

アプリが内部リソースに接続できない正しいファイアウォールポートが開いていることテナント IDが正しいことを確認します

アプリのエラーメッセージをパッケージ化できませんでした

Failed to packageapp commicrosoftintunemamapppackagerutilsAppPackagerException This appalready has the MAMSDK integratedcommicrosoftintunemamapppackagerAppPackagerpackageApp(AppPackagerjava113)commicrosoftintunemamapppackagerPackagerMainmainInternal(PackagerMainjava198)commicrosoftintunemamapppackagerPackagerMainmain(PackagerMainjava56)The application cannot be wrapped

Citrix Gatewayの問題


Citrix Gateway 130

問題解像度

Azureの Gatewayアプリに構成するために必要なアクセス許可は使できません

適切な Intuneライセンスが利可能かどうかを確認します管理ウィンドウサズ urecomポータルを利して権限を追加できるかどうかを試してください問題が解決しない場合はMicrosoftのサポートにお問い合わせください

Citrix Gatewayはloginmicrosoftonlinecomandgraphwindowsnetにアクセスできません

NSシェルから次のMicrosoft Webサイトにアクセスできるかどうかを確認しますcurl-v-khttpsloginmicrosoftonlinecom次にCitrix Gatewayで DNSが構成されているかどうかを確認しますまたファイアウォール設定が正しいことを確認します（DNS要求がファイアウォールされている場合）

OAuthActionを設定するとnslogにエラーが記録される

Intuneのライセンスが有効であることおよびAzure Gatewayアプリに適切な権限のセットが設定されているかを確認します

Sh OAuthActionコマンドで OAuthのステータスが完了と表されない

DNS設定と Azure Gatewayアプリに設定されている権限を確認します

Androidまたは iOSデバイスで 2要素認証のプロンプトが表されない

2要素デバイス IDログオンスキーマが認証仮想サーバーにバインドされているかを確認します

Citrix GatewayのOAuthステータスとエラー状態

ステータスエラー状態

AADFORGRAPH シークレットが無効URLが未解決接続タイムアウト

MDMINFO managemicrosoftcomがダウンしているか到達不能です

GRAPH グラフエンドポイントがダウンしており到達不能

CERTFETCH DNSエラーのためトークンエンドポイントhttpsloginmicrosoftonlinecomと通信できないこの構成を検証するにはshellに移動しcurlhttpsloginmicrosoftonlinecomとしますこのコマンドは検証が必要です


Citrix Gateway 130

注 OAuthステータスが成功するとステータスは COMPLETEと表されます


UDPトラフィックに対するサービスサポートのタイプ

March 26 2020

UDPのタイプオブサービス（ToS）のサポートにより送信者が UDPパケットに対して ToS値が構成されるとCitrix Gatewayはそのパケットが宛先に到達するまで値を保持します設定された値と宛先ネットワークの設定に基づいて宛先ネットワークは UDPパケットを優先順位付けされた発信キューに配置します

注ToS情報を使すると各 IPパケットに優先順位を割り当てスループット信頼性低遅延などの特定の処理を要求できます


Citrix Gatewayでのアウトバウンドプロキシのプロキシ動構成サポート

March 26 2020

プロキシ動構成（PAC）をサポートするように Citrix Gatewayアプライアンスを構成するとPACファイルのURLがクライアントブラウザーにプッシュされますクライアントからのトラフィックはPACファイルで定義された条件に従ってそれぞれのプロキシにリダイレクトされます

次にアウトバウンドプロキシの PACの般的な使例をします

bull クライアントトラフィックを処理する複数のプロキシサーバーを構成するbull サブネット間でプロキシトラフィックをロードバランシングする

コマンドラインインターフェイスを使して送信プロキシの PACをサポートするように Citrix Gatewayグローバルパラメータを構成するには次の操作をいます


1 lsquolsquolsquo2 set vpn parameter -proxy BROWSER -autoProxyUrl ltURLgt3 lsquolsquolsquo


Citrix Gateway 130

セッションプロファイルで PACをサポートするように Citrix Gatewayを構成するには


1 lsquolsquolsquo2 add vpn sessionAction ltnamegt -proxy BROWSER -autoProxyUrl ltURLgt3 lsquolsquolsquo

値

bull URL mdashプロキシサーバーの URLbull 名前VPNセッションアクションの名前

Citrix ADC GUIを使して送信プロキシの PACをサポートするように Citrix Gatewayグローバルパラメータを構成するには次の操作をいます

1［構成］ gt Citrix Gateway gt［グローバル設定］に移動します2 [グローバル設定]ページで[グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します


Citrix ADC GUIを使してセッションプロファイルの PACをサポートするように Citrix Gatewayを構成するには

1［設定］gt［Citrix Gateway］gt［ポリシー］gt［セッション］に移動します2 Citrix GatewayセッションポリシーとプロファイルページでCitrix Gatewayセッションプロファイルを作成します

Citrix Gatewayセッションプロファイルを作成するには［セッションプロファイル］タブを選択し［追加］をクリックして名前をします



アウトバウンド ICAプロキシのサポート

March 26 2020


Citrix Gateway 130

Citrix Gateway のアウトバウンド ICA プロキシのサポートによりネットワーク管理者は Receiver と CitrixGatewayが異なる組織に展開されている場合でもSmartControl機能を利できます

次のシナリオはアウトバウンド ICAプロキシソリューションの使をしています

Receiverと Citrix Gatewayを異なる組織に展開する場合はネットワーク管理者が ICAセッション関連の機能を制御する必要があります

アウトバウンド ICAプロキシのサポートについて

企業組織に SmartControl 機能をもたらすために会社 A これはReceiver を持っています私たちはLANプロキシとして機能する Citrix ADC アプライアンスを追加する必要があります Citrix ADC LAN プロキシはSmartControl を強制しB 社の Citrix Gateway にトラフィックをプロキシしますこの展開シナリオではReceiverは Citrix ADC LANプロキシにトラフィックを転送しますこれによりA社のネットワーク管理者がSmartControlを強制することができます展開を次の図にします

このシナリオではLANプロキシと Citrix Gateway間のトラフィックは SSL経由です

注クライアント証明書ベースの認証はCitrix Gatewayで有効にしないでください


アウトバウンド ICAプロキシの構成

March 26 2020

CLIを使してアウトバウンド ICAプロキシを構成するには次の順に従います

1 キャッシュリダイレクト Vserverを追加します

add cr vserver ltnamegt ltserviceTypegt ltIPAddressgt ltportgt -cacheType ltcacheTypegt

サービスは HDXである必要があります

キャッシュタイプはフォワードでなければなりません

例

add cr vserver CR_LAN_Proxy HDX 10217208197 8080 -cacheType FORWARD

2 ICAスマートコントロールプロファイルを追加します

add ica accessprofile ltnamegt -ConnectClientLPTPorts ( DEFAULT | DISABLED ) ClientAu-dioRedirection ( DEFAULT | DISABLED ) -LocalRemoteDataSharing ( DEFAULT | DISABLED )-ClientClipboardRedirection ( DEFAULT | DISABLED ) -ClientCOMPortRedirection ( DEFAULT|DISABLED ) -ClientDriveRedirection ( DEFAULT | DISABLED ) -ClientPrinterRedirection (


Citrix Gateway 130

DEFAULT |DISABLED ) -Multistream ( DEFAULT | DISABLED ) -ClientUSBDriveRedirection (DEFAULT | DISABLED)

例

1 add ica accessprofile disableCDM -ConnectClientLPTPorts DEFAULT -ClientAudioRedirection DEFAULT ‒ LocalRemoteDataSharing DEFAULT-ClientClipboardRedirection DEFAULT -ClientCOMPortRedirectionDEFAULT ‒ ClientPrinterRedirection DEFAULT -Multistream DEFAULT-ClientUSBDriveRedirection DEFAULT

3 ICAアクションを追加する

add ica action ltnamegt -accessProfileName ltstringgt

例

1 add ica action disableCDM_action -accessProfileName disableCDM


add ica policy ltnamegt -rule ltexpressiongt -action ltstringgt -comment ltstringgt -logActionltstringgt

5 ICAポリシーを仮想サーバーまたはグローバルにバインドします

a 仮想サーバーにバインド

1 bind cr vserver ltnamegt -policyName ltstringgt -priority ltpositive_integergt

例

1 bind cr vserver CR_LAN_Proxy ‒ policyname disableCDM_pol ‒priority 10

b グローバルにバインド

1 bind ica global -policyName ltstringgt -priority ltpositive_integergt

例

1 bind ica global ‒ policyName disableCDM_pol ‒ priority 10


Citrix Gateway 130

注

［Secure ICAポート］の設定この値はLANプロキシがアウトバウンド接続をう Citrix Gatewayのポート番号ですデフォルトでは 443に設定されていますポートを変更するには次のコマンドを使します

set ns param -secureicaPortsltportgt

例

set ns param -secureicaPorts 8443



March 26 2020


注Citrix Virtual Apps and Desktopsを Citrix Gatewayと統合する構成順についてはStoreFrontのドキュメントを参照してください



認証のネイティブOTPサポート

March 26 2020

Citrix Gatewayではサードパーティのサーバーを使せずにワンタイムパスワード（OTP）をサポートしていますワンタイムパスワードは成される番号またはパスコードがランダムであるためセキュリティで保護されたサーバに対して認証をうための常に安全なオプションです以前はランダムな数字を成する特定のデバイスを備えた RSAなどの専企業によって OTPが提供されていましたこのシステムはサーバーが期待する数値を成するためにクライアントと常に通信する必要があります


Citrix Gateway 130

この機能は設備コストと運コストの削減に加えてCitrix ADCアプライアンスの構成全体を維持することで管理者の管理を強化します

注

サードパーティ製サーバーが不要になったためCitrix ADC管理者はユーザーデバイスを管理および検証するためのインターフェイスを構成する必要があります

ユーザーが OTPソリューションを使するにはCitrix Gateway仮想サーバーに登録されている必要があります登録は意のデバイスごとに 1回だけ必要で特定の環境に制限できます登録ユーザーの設定と検証は追加の認証ポリシーの設定に似ています

ネイティブOTPサポートの利点

bull Active Directoryに加えて認証サーバに追加のインフラストラクチャを使する必要がなくなるため運コストが削減されます

bull 構成を Citrix ADCアプライアンスにのみ統合し管理者に優れた制御を提供しますbull クライアントが期待する数値を成するために追加の認証サーバーへのクライアントの依存を排除します

ネイティブOTPワークフロー

ネイティブ OTPソリューションは 2つ折りプロセスでありワークフローは次のように分類されます


重要

サードパーティ製のソリューションを使している場合やCitrix ADCアプライアンス以外のデバイスを管理している場合は登録プロセスをスキップできます追加する最後の字列はCitrix ADCで指定された形式である必要があります

次の図はOTPを受信する新しいデバイスを登録するためのデバイス登録フローをしています

注

デバイスの登録は任意の数の要因を使してうことができますデバイス登録プロセスを説明する例として1つのファクタ（前の図を参照）を使します

次の図は登録されたデバイスを介した OTPの検証をしています

前提条件

ネイティブ OTP機能を使するには次の前提条件が満たされていることを確認します

bull Citrix ADC機能のリリースバージョンは 120ビルド 5124以降です


Citrix Gateway 130

bull 度なエディションまたはプレミアムエディションのライセンスが Citrix Gatewayにインストールされている

bull Citrix Gatewayには管理 IPが設定されており管理コンソールにはブラウザーとコマンドラインの両を使してアクセスできます

bull Citrix ADCはユーザーを認証するための認証承認監査仮想サーバーで構成されていますbull Citrix ADCアプライアンスはUnified Gatewayで構成され認証承認監査プロファイルが Gateway仮想サーバーに割り当てられます

bull ネイティブ OTPソリューションはnFactor認証フローに制限されていますソリューションを構成するには度なポリシーが必要です詳細については記事CTX222713を参照してください

またActive Directoryについては次の点を確認してください

bull 256字の属性の最bull 属性タイプはユーザーパラメータなどの lsquoディレクトリ字列rsquoである必要がありますこれらの属性は字列値を保持できます

bull デバイス名が英語以外の字である場合属性字列タイプは Unicodeである必要がありますbull Citrix ADC LDAP管理者は選択した AD属性への書き込みアクセス権を持っている必要がありますbull Citrix ADCアプライアンスとクライアントマシンは共通のネットワークタイムサーバーに同期する必要があります

GUIを使したネイティブOTPの設定

ネイティブ OTP登録は単要素認証ではありません次のセクションではシングルファクタ認証と 2番のファクタ認証の設定について説明します

最初の要素のログインスキーマの作成

1 [セキュリティ AAA] gt [アプリケーショントラフィック] gt [ログインスキーマ]に移動します

2 [プロファイル]に移動し[追加]をクリックします

3「認証ログインスキーマの作成」ページで「名前」フィールドに lschema_first_factor とし「noschema」の横にある「編集」をクリックします

4 [ LoginSchema ]フォルダをクリックします

5 下にスクロールして SingleAuthxmlを選択し[選択]をクリックします


7 [ポリシー]をクリックし[追加]をクリックします

8 [認証ログインスキーマポリシーの作成]画で次の値をします


Citrix Gateway 130

名前 lschema_first_factorプロファイルリストから lschema_first_factorを選択しますルール HTTP要求クッキー値 (「NSC_TASS」) EQ (「管理」)

認証承認監査仮想サーバーの構成

1 [セキュリティ] gt [AAA] gt [アプリケーショントラフィック] gt [認証仮想サーバ]に移動します既存の仮想サーバーを編集する場合にクリックします

2 右側のペインの [詳細設定]の [ログインスキーマ]の横にある [ + ]アイコンをクリックします

3「ログインスキーマなし」を選択します

4 印をクリックしてlschema_first_factorポリシーを選択します

5 lschema_first_factorポリシーを選択し[選択]をクリックします

6 [バインド]をクリックします

7 上にスクロールし[度な認証ポリシー]の下の [認証ポリシー]を 1つ選択します

8 nFactorポリシーを右クリックし[バインディングの編集]を選択します

9 [次の係数の選択]の下にある [ + ]アイコンをクリックし [次の係数]を作成して [バインド]をクリックします

10「認証ポリシーラベルの作成」画で次のようにし「続」をクリックします

名前 OTP管理ファクター

ログインスキーマ Lschema_Int

11「認証ポリシーラベル」画で「+」アイコンをクリックしてポリシーを作成します

12 [認証ポリシーの作成]画で次のようにします

名前 otp_manage_ldap

13 [アクションタイプ]リストを使してアクションタイプを選択します

14「アクション」フィールドで「+」アイコンをクリックしてアクションを作成します

15 「認証 LDAPサーバーの作成」ページで「サーバー IP」ラジオボタンを選択し「認証」の横にあるチェックボックスの選択を解除し次の値をして「接続のテスト」を選択します

名前 LDAP_no_auth

IPアドレス1921681011

ベース DN DC =トレーニングDC =ラボ

管理者 Administratortraininglab

パスワード xxxxx


Citrix Gateway 130

16 [その他の設定]セクションまで下にスクロールしますドロップダウンメニューを使して次のオプションを選択します

「サーバーログオン名」属性として「新規」とし「ユーザープリンシパル名」とします

17 ドロップダウンメニューを使して「新規」として「SSO名属性」を選択し「userprincipalname」とします

18「OTPシークレット」フィールドに「ユーザーパラメータ」とし「詳細」をクリックします

19 次の属性をします

属性 1 =メール属性 2 =オブジェクト GUID属性 3 =変更不可能 ID


21 [認証ポリシーの作成]ページで[式]を trueに設定し[作成]をクリックします

22「認証ポリシーの作成」ラベルページで「バインド」をクリックし「完了」をクリックします

23 [ポリシーのバインド]ページで[バインド]をクリックします

24 [認証ポリシー]ページで[閉じる]をクリックし[完了]をクリックします

注

認証仮想サーバーは RFWebUIポータルテーマにバインドする必要がありますサーバー証明書をサーバーにバインドしますサーバー IP lsquo1235rsquoには後で使するために otpauthservercomという対応するFQDNが必要です

第 2要素OTPのログインスキーマの作成

1 [セキュリティ] gt [AAAアプリケーショントラフィック] gt [仮想サーバ]に移動します編集する仮想サーバを選択します

2 下にスクロールして[ログインスキーマ]を 1つ選択します3 [バインドを追加]をクリックします4 [ポリシーのバインド]セクションで[ + ]アイコンをクリックしてポリシーを追加します5 [認証ログインスキーマポリシーの作成]ページで「名前」にOTPとし[ + ]アイコンをクリックしてプロファイルを作成します

6「認証ログインスキーマの作成」ページで「名前」に「OTP」とし「noschema」の横のアイコンをクリックします

7 [ LoginSchema ]フォルダーをクリックし[ DualAuthxml ]を選択し[選択]をクリックします8［作成］をクリックします9 [ルール]セクションでTrueとします［作成］をクリックします


Citrix Gateway 130

10［バインド］をクリックします11 認証の 2つの要素に注してください[閉じる]をクリックし[完了]をクリックします

OTPを管理するためのコンテンツスイッチングポリシーを構成する

Unified Gatewayを使する場合は次の設定が必要です

1 [トラフィック管理] gt [コンテンツの切り替え] gt [ポリシー]に移動しますコンテンツスイッチングポリシーを選択し右クリックして [編集]を選択します

2 式を編集して次の ORステートメントを評価し[ OK]をクリックします

is_vpn_url HTTPREQURLCONTAINS(ldquomanageotprdquo)

CLIを使したネイティブOTPの設定

OTPデバイス管理ページを設定するには次の情報が必要です

bull 認証仮想サーバに割り当てられた IPbull 割り当てられた IPに対応する FQDNbull 認証サーバー証明書仮想サーバー

注

ネイティブ OTPはWebベースのソリューションのみです

OTPデバイスの登録および管理ページを構成するには


1 gt add authentication vserver authvs SSL 1235 4432 gt bind authentication vserver authvs -portaltheme RFWebUI3 gt bind ssl vserver authvs -certkeyname otpauthcert

注

認証仮想サーバーは RFWebUIポータルテーマにバインドする必要がありますサーバー証明書をサーバーにバインドする必要がありますサーバー IP lsquo1235rsquoには後で使するために otpauthservercomという対応する FQDNが必要です


Citrix Gateway 130

LDAPログオンアクションを作成するには

add authentication ldapAction ltLDAP ACTION NAMEgt -serverIP ltSERVER IPgt - serverPort ltSERVER PORTgt -ldapBase ltBASEgt -ldapBindDn ltAD USERgt -ldapBindDnPassword ltPASSWOgt -ldapLoginName ltUSER FORMATgt

例

1 add authentication ldapAction ldap_logon_action -serverIP 1234 -serverPort 636 -ldapBase rdquoOU=UsersDC=serverDC=comrdquo -ldapBindDnadministratorctxnsdevcom -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

LDAPログオンの認証ポリシーを追加するには

1 add authentication Policy auth_pol_ldap_logon -rule true -actionldap_logon_action

ログインスキーマを使して UIを表するには

ログオン時にユーザー名のフィールドとパスワードフィールドをユーザーに表する

1 add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema rdquonsconfigloginschemaLoginSchemaSingleAuthManageOTPxmlrdquo

デバイスの登録と管理ページを表する

デバイスの登録と管理画を表するにはURLまたはホスト名の 2つの法があります

bull URLを使する

URLにrsquomanageotprsquoが含まれている場合

ndash add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url-rule rdquohttpreqcookievalue(rdquoNSC_TASSrdquo)contains(rdquomanageotprdquo)rdquo-

action lschema_single_auth_manage_otpndash bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url


bull ホスト名の使

ホスト名が「altservercom」の場合


Citrix Gateway 130

ndash add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host-rule rdquohttpreqheader(rdquohostrdquo)eq(rdquoaltservercomrdquo)rdquo-action

lschema_single_auth_manage_otpndash bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host


CLIを使してユーザログインページを設定するには

[ユーザーログオン]ページを構成するには次の情報が必要です

bull 負荷分散仮想サーバの IPbull 負荷分散仮想サーバーの対応する FQDNbull 負荷分散仮想サーバーのサーバー証明書

注

2要素認証に既存の認証仮想サーバー (authvs)を再利します

負荷分散仮想サーバーを作成するには

1 gt add lb vserver lbvs_https SSL 123162 443 -persistenceType NONE -cltTimeout 180 - AuthenticationHost otpauthservercom -Authentication ON -authnVsName authvs

2 gt bind ssl vserver lbvs_https -certkeyname lbvs_server_cert

ロードバランシングにおけるバックエンドサービスは次のように表されます

1 gt add service iis_backendsso_server_com 123210 HTTP 802 gt bind lb vserver lbvs_https iis_backendsso_server_com

OTPパスコード検証アクションを作成するには

add authentication ldapAction ltLDAP ACTION NAMEgt -serverIP ltSERVER IPgt -serverPort ltSERVER PORTgt -ldapBase ltBASEgt -ldapBindDn ltAD USERgt -ldapBindDnPasswordltPASSWORDgt -ldapLoginName ltUSER FORMATgt -authentication DISABLED -OTPSecretltLDAP ATTRIBUTEgt

例

1 add authentication ldapAction ldap_otp_action -serverIP 1234 -serverPort 636 -ldapBase rdquoOU=UsersDC=serverDC=comrdquo -ldapBindDnadministratorctxnsdevcom -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecretuserParameters


Citrix Gateway 130

重要

LDAPログオンと OTPアクションの違いは認証を無効にし新しいパラメータ「OTPSecret」を導する必要があることですAD属性値を使しないでください

OTPパスコード検証の認証ポリシーを追加するには

1 gt add authentication Policy auth_pol_otp_validation -rule true -actionldap_otp_action

LoginSchemaを使して 2要素認証を表するには

2要素認証の UIを追加します

1 gt add authentication loginSchema lscheme_dual_factor -authenticationSchema rdquonsconfigloginschemaLoginSchemaDualAuthxmlrdquo

23 gt add authentication loginSchemaPolicy lpol_dual_factor -rule true -

action lscheme_dual_factor

ポリシーラベルを使してパスコード検証係数を作成するには

次の要素の管理 OTPフローポリシーラベルを作成する（最初の要素は LDAPログオン）

1 gt add authentication loginSchema lschema_noschema -authenticationSchemanoschema

23 gt add authentication policylabel manage_otp_flow_label -loginSchema

lschema_noschemalsquo

OTPポリシーをポリシーラベルにバインドするには

1 bind authentication policylabel manage_otp_flow_label -policyNameauth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

UIフローをバインドするには

LDAPログオンに続いて OTP検証を認証仮想サーバーとバインドします


Citrix Gateway 130

1 gt bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT

23 gt bind authentication vserver authvs -policy lpol_dual_factor -priority

30 -gotoPriorityExpression END

Citrix ADCでデバイスを登録する

1 manageotpというサフィックスが付いたCitrix ADC FQDN（最初のパブリック IPアドレス）に移動しますたとえばユーザーの資格情報でhttpsotpauthservercommanageotpにログインします

2 [ + ]アイコンをクリックしてデバイスを追加します

3 デバイス名をしGoキーを押しますバーコードが画に表されます

4 [セットアップの開始]をクリックし[バーコードのスキャン]をクリックします

5 デバイスのカメラを QRコードの上に置きます必要に応じて16桁のコードをできます

注

表されている QRコードは 3分間有効です

6 スキャンに成功するとログインに使できる 6桁の時間依存コードが表されます

7 テストするにはQR画で [完了]をクリックし右側の緑のチェックマークをクリックします

8 プルダウンメニューから端末を選択しGoogle Authenticatorからコード（ではなくでなければならない）をし[ Go]をクリックします

9 ページの右上隅にあるドロップダウンメニューを使してログアウトしてください

OTPを使して Citrix ADCにログインします

1 最初の公開 URLに移動しGoogle Authenticatorから OTPをしてログオンします

2 Citrix ADCスプラッシュページへの認証をいます


OTPのプッシュ通知

April 9 2020


Citrix Gateway 130

Citrix GatewayはOTPのプッシュ通知をサポートしていますユーザーはCitrix Gatewayにログインするために登録されたデバイスで受信したOTPを動でする必要はありません管理者はプッシュ通知サービスを使してユーザーの登録デバイスにログイン通知が送信されるように Citrix Gatewayを設定できますユーザーが通知を受け取ったら通知の [許可]をタップするだけで Citrix GatewayにログインできますGatewayはユーザーからの確認応答を受信すると要求の送信元を識別しそのブラウザ接続に応答を送信します

タイムアウト時間（30秒）内に通知応答が受信されない場合ユーザーは Citrix Gatewayのログインページにリダイレクトされますその後ユーザは OTPを動でするか[再送信（Resend Notification） ]をクリックして登録されたデバイスで再度通知を受信できます

管理者はプッシュ通知に作成されたログインスキーマを使してプッシュ通知認証をデフォルト認証としてうことができます

重要プッシュ通知機能はCitrix ADC Premiumエディションライセンスで利できます

プッシュ通知の利点

bull プッシュ通知はより安全な多要素認証メカニズムを提供しますユーザーがログイン試を承認するまでCitrix Gatewayへの認証は成功しません

bull プッシュ通知は管理と使が簡単ですユーザーはCitrix SSOモバイルアプリをダウンロードしてインストールする必要があります管理者による援は必要ありません

bull ユーザーはコードをコピーしたり覚えておく必要はありません認証を受けるにはデバイスをタップするだけで済みます

bull ユーザーは複数のデバイスを登録できます

プッシュ通知の動作

プッシュ通知ワークフローは次の 2つのカテゴリに分類できます


プッシュ通知を使するための前提条件

bull Citrix Cloudのオンボーディングプロセスを完了します

1 Citrix Cloudの企業アカウントを作成するか既存のアカウントに参加します詳細なプロセスと順については「Citrix Cloudへのサインアップ」を参照してください

2 httpscitrixcloudcomにログインし顧客を選択します

3「メニュー」から「ID」と「アクセス管理」を選択し「API Access」タブに移動して顧客のクライアントを作成します


Citrix Gateway 130

4 IDシークレットカスタマー IDをコピーしますこの IDとシークレットはCitrix ADCでプッシュサービスを「ClientID」と「ClientSecret」として構成するために必要です

重要

bull 同じ API認証情報を複数のデータセンターで使できますbull オンプレミスの Citrix ADC アプライアンスはサーバーアドレスの mfacloudcom と

trustcitrixWorkspacesapinetを解決できる必要がありアプライアンスからアクセスできる必要がありますこれはポート 443を介してこれらのサーバに対してファイアウォールまたは IPアドレスブロックがないことを保証するためです

bull iOSデバイスと Androidデバイスのアプリストアと Playストアから Citrix SSOモバイルアプリをダウンロードしますプッシュ通知は235から Android上のビルド 1113から iOSでサポートされています

bull Active Directoryについて次のことを確認します

ndash 属性の最は 256字以上にする必要がありますndash 属性タイプはユーザーパラメータなどの lsquoディレクトリ字列rsquoである必要がありますこれらの属性は字列値を保持できます

ndash デバイス名が英語以外の字である場合属性字列タイプは Unicodeである必要がありますndash Citrix ADC LDAP管理者は選択した AD属性への書き込みアクセス権を持っている必要がありますndash Citrix ADCとクライアントマシンは共通のネットワークタイムサーバーに同期する必要があります

プッシュ通知の設定

プッシュ通知機能を使するには次の順を完了する必要があります

bull Citrix Gateway管理者はユーザーを管理および検証するためのインターフェイスを構成する必要があります

1 プッシュサービスを構成します

2 OTP管理とエンドユーザーログインに Citrix Gatewayを構成します

Citrix Gatewayにログインするにはデバイスを Gatewayに登録する必要があります

3 デバイスを Citrix Gatewayに登録します

4 Citrix Gatewayにログインします

プッシュサービスの作成

1 [セキュリティ] gt [ AAAアプリケーショントラフィック] gt [ポリシー] gt [認証] gt [度なポリシー] gt [アクション] gt [プッシュサービス]に移動し[追加]をクリックします

2「名前」にプッシュサービスの名前をします


Citrix Gateway 130

3「クライアント ID」にクラウド内の Citrix Pushサーバーと通信するための証明書利者の意の IDをします

4 [クライアントシークレット]にクラウド内の Citrix Pushサーバーと通信するための証明書利者の意のシークレットをします

5 [顧客 ID]にクライアント IDとクライアントシークレットのペアを作成するために使するクラウド内のアカウントの顧客 IDまたは名前をします

OTP管理とエンドユーザーログインのための Citrix Gatewayの構成

OTP管理とエンドユーザログインをうには次の順を実します

bull OTP管理のログインスキーマの作成bull 認証承認監査仮想サーバーの構成bull VPNまたは負荷分散仮想サーバーの構成bull ポリシーラベルの構成bull エンドユーザーログインのログインスキーマの作成

設定の詳細についてはネイティブ OTPサポートを参照してください

重要プッシュ通知の場合管理者は以下を明的に設定する必要があります

bull プッシュサービスを作成しますbull OTP管理のログインスキーマを作成するときは必要に応じて SingleAuthManageOTPxmlログインスキーマまたは同等のログインスキーマを選択します

bull エンドユーザーログインのログインスキーマを作成するときは必要に応じて DualAuthOrPushxmlログインスキーマまたは同等のログインスキーマを選択します

デバイスを Citrix Gatewayに登録する

プッシュ通知機能を使するにはデバイスを Citrix Gatewayに登録する必要があります

1 WebブラウザでCitrix Gatewayの FQDNを参照しFQDNに manageotpという接尾辞を付けます

認証ページが読み込まれます例httpsgatewaycompanycommanageotp

2 必要に応じてLDAPクレデンシャルまたは適切な 2要素認証メカニズムを使してログインします

3［デバイスを追加］をクリックします

4 デバイスの名前をし［実］をクリックします

Citrix Gatewayのブラウザページに QRコードが表されます


Citrix Gateway 130

5 登録するデバイスから Citrix SSOアプリを使してこの QRコードをスキャンします

Citrix SSOはQRコードを検証しプッシュ通知でゲートウェイに登録します登録プロセスにエラーがない場合トークンはパスワードトークンページに正常に追加されます

6 追加管理するデバイスがない場合はページの右上隅にあるリストを使してログアウトします

ワンタイムパスワード認証のテスト

1 OTPをテストするにはリストからデバイスをクリックし[ Test]をクリックします

2 デバイスで受信した OTPをし[ Go]をクリックします

「OTP検証に成功しました」というメッセージが表されます

3 ページの右上隅のリストを使してログアウトします

注OTP管理ポータルを使して認証のテスト登録済みデバイスの削除または追加のデバイスの登録をいつでもうことができます

Citrix Gatewayにログインします

Citrix Gatewayにデバイスを登録するとユーザーはプッシュ通知機能を使して認証をうことができます

1 Citrix Gateway認証ページに移動します（例httpsgatewaycompanycom）

ログインスキーマの構成に応じてLDAP認証情報のみをするように求められます

2 LDAPユーザー名とパスワードをし[ Submit]を選択します

登録済みのデバイスに通知が送信されます

注意 OTPを動でする場合は「クリックしてOTPを動でする」を選択し「TOTP」フィールドに OTPをする必要があります

3 登録したデバイスで Citrix SSOアプリを開き［許可］をタップします

注

bull 認証サーバは設定されたタイムアウト時間が経過するまでプッシュサーバ通知応答を待機しますタイムアウト後Citrix Gatewayはログインページを表しますその後ユーザは OTPを動でするか[再送信（Resend Notification） ]をクリックして登録されたデバイスで再度通知を受信できます選択したオプションに基づいてGatewayはした OTPを検証するか登録済みのデバイスに通知を再送信します

bull ログイン失敗に関する通知は登録されたデバイスに送信されません


Citrix Gateway 130

障害状態

bull 次の場合デバイスの登録が失敗することがありますndash サーバー証明書がエンドユーザーのデバイスによって信頼されていない可能性がありますndash OTPの登録に使された Citrix Gatewayはクライアントからアクセスできません

bull 通知は次の場合に失敗することがありますndash ユーザーデバイスがインターネットに接続されていませんndash ユーザーデバイス上の通知がブロックされるndash ユーザーがデバイス上の通知を承認しない

このような場合認証サーバは設定されたタイムアウト時間が経過するまで待機しますタイムアウト後CitrixGatewayにはログインページが表され動でOTPをするか登録済みのデバイスに通知を再送信するかを選択できます選択したオプションに基づいてさらに検証がわれます

iOSでの Citrix SSOアプリケーションの動作mdash注意すべきポイント

通知のショートカット

Citrix SSO iOSアプリにはユーザーエクスペリエンスを向上させるためのアクション可能な通知のサポートが含まれていますiOSデバイスで通知を受信した後デバイスがロックされているかCitrix SSOアプリケーションがフォアグラウンドになっていない場合ユーザーは通知に組み込まれたショートカットを使してログイン要求を承認または拒否できます

通知のショートカットにアクセスするにはデバイスのハードウェアに応じて強制的にタッチ（3Dタッチ）または押しする必要があります［ショートカットの許可］アクションを選択するとCitrix ADCにログイン要求が送信されます認証承認および監査仮想サーバーでの認証ポリシーの構成法に応じて

bull ログイン要求はアプリをフォアグラウンドで起動したりデバイスのロックを解除したりすることなくバックグラウンドで送信されることがあります

bull アプリはアプリがフォアグラウンドで起動される余分な要素としてTouch-IDFace-IDパスコードを要求することがあります

Citrix SSOからのパスワードトークンの削除

1 Citrix SSOアプリでプッシュに登録されたパスワードトークンを削除するには以下の順を実する必要があります

2 Gateway上の iOSAndroidデバイスを登録解除（削除）しますデバイスから登録を削除するための QRコードが表されます

3 Citrix SSOアプリを開き削除するパスワードトークンの情報ボタンをタップします

4「トークンの削除」をタップしQRコードをスキャンします


Citrix Gateway 130

注

bull QRコードが有効な場合トークンは Citrix SSOアプリから正常に削除されますbull 端末がすでに Gatewayから削除されている場合はQRコードをスキャンすることなく「強制削除」をタップしてパスワードトークンを削除できます強制削除をうとCitrix Gatewayからデバイスが削除されていない場合でもデバイスが通知を受信し続けることがあります


サーバ名表拡張の設定

March 26 2020

Citrix Gatewayアプライアンスはバックエンドサーバーに送信される SSL「client hello」パケットにサーバー名表（SNI）拡張を含めるように構成できるようになりましたSNI拡張はバックエンドサーバが SSLハンドシェイク中に要求されている FQDNを識別しそれぞれの証明書で応答するのに役ちます

注

複数の SSLドメインが同じサーバーでホストされている場合SNIサポートを有効にします

GUIを使して SNIをサポートするように Citrix Gatewayを構成するには


2 [グローバル設定の変更]リンクをクリックし[バックエンドサーバ SNI ]ドロップダウンから [有効]を選択します

コマンドラインインターフェイスを使して SNIをサポートするように Citrix Gatewayを構成するにはコマンドプロンプトで次のようにします

1 set vpn parameter backendServerSni ltENABLEDgtltDISABLEDgt


SSLハンドシェイク中のサーバー証明書の検証

March 26 2020

Citrix GatewayアプライアンスはSSLハンドシェイク中にバックエンドサーバーによって提供されたサーバー証明書を検証するように構成できるようになりました


Citrix Gateway 130

構成ユーティリティを使して送信プロキシの PACをサポートするように Citrix Gatewayグローバルパラメーターを構成するには

CA証明書のバインド

1［構成］gt［Citrix Gateway］ gt［Citrix Gatewayポリシーマネージャー］gt［証明書バインディング］の順に選択します

2 [証明書のバインド]画で[ + ]アイコンをクリックします3 [ CA証明書のバインド]画で[バインドの追加]をクリックし[インストール]をクリックします4「証明書ファイル名」フィールドで証明書ファイル名を選択し「インストール」をクリックします5 [ CA証明書のバインド]画で証明書を選択し[バインド]をクリックします6［完了］をクリックします

証明書検証の有効化

1［Citrix Gateway］gt［グローバル設定］に移動します2 [グローバル設定の変更]をクリックします3 [バックエンドサーバ証明書の検証]ドロップダウンメニューから [有効]を選択し[ OK ]をクリックします

コマンドラインでサーバー証明書をサポートするように Citrix Gatewayグローバルパラメーターを構成するには


1 bind vpn global cacert DNPGCA123 set vpn parameter backendcertValidation ENABLED


アドバンスポリシーを使した VPNポリシーの作成

April 9 2020

クラシックポリシーエンジン（PE）とアドバンスポリシーインフラストラクチャ（PI）はCitrix ADCが現在サポートしている 2つの異なるポリシー構成と評価フレームワークです

アドバンスポリシーインフラストラクチャは常に強な表現語で構成されています式語はポリシーのルールを定義したりアクションのさまざまな部分を定義したりサポートされているその他のエンティティを定義したりするために使できます式語はリクエストまたはレスポンスのどの部分でも解析できヘッダーとペイロードを深く調べることもできます同じ式語が展開されCitrix ADCがサポートするすべての論理モジュールを介して機能します


Citrix Gateway 130

注ポリシーの作成には度なポリシーを使することをお勧めします

従来のポリシーから度なポリシーに移する理由

度なポリシーには豊富な式セットがありクラシックポリシーよりも柔軟性に優れていますCitrix ADCは多種多様なクライアントに対応するため度なポリシーを幅に上回る表現をサポートすることが不可です詳しくは「ポリシーと式」を参照してください

以下はアドバンスポリシーのために追加された機能です

bull メッセージの本にアクセスする機能bull 多くの追加プロトコルをサポートしますbull システムの多くの追加機能にアクセスしますbull 基本的な関数演算およびデータ型のより多くの数を持っていますbull HTMLJSONおよび XMLファイルの解析に利できますbull 速な並列マルチストリングマッチング (パッチセットなど)を容易にします

これでアドバンスポリシーを使して次の VPNポリシーを設定できます

bull セッションポリシーbull 承認ポリシーbull 交通政策bull トンネルポリシーbull 監査ポリシー

またエンドポイント分析（EPA）は認証機能の nFactorとして構成できますEPAはGatewayアプライアンスに接続しようとするエンドポイントデバイスのゲートキーパーとして使されますエンドポイントデバイスに[Gateway]ログオンページが表される前にGateway管理者が設定した適格基準に応じてデバイスのハードウェアおよびソフトウェアの最要件がチェックされますGatewayへのアクセスは実されたチェックの結果に基づいて付与されます以前はEPAはセッションポリシーの部として設定されていましたnFactorにリンクできるようになりいつ実できるかについて柔軟性がまりますEPAの詳細については「エンドポイントポリシーの仕組み」を参照してくださいnFactorの詳細については「nファクタ認証」を参照してください

ユースケース

度な EPAを使した事前認証 EPA

認証前 EPAスキャンはユーザーがログオン資格情報をする前に実されます認証要素の 1つとして事前認証EPAスキャンを使した nFactor認証の Citrix Gatewayの構成についてはCTX224268トピックを参照してください


Citrix Gateway 130

度な EPAを使した認証後の EPA

認証後 EPAスキャンはユーザーの資格情報が確認された後にわれます従来のポリシーインフラストラクチャでは認証後の EPAがセッションポリシーまたはセッションアクションの部として構成されました[度なポリシーインフラストラクチャ]ではEPAスキャンを Nファクタ認証の EPAファクタとして構成します認証後の EPAスキャンを認証要素の 1つとして使して n要素認証をうための Citrix Gatewayの構成についてはCTX224303トピックを参照してください

度なポリシーを使した事前認証および認証後の EPA

EPAは認証前および認証後で実できます事前認証および認証後の EPAスキャンを使した nFactor認証のCitrix Gatewayの構成についてはCTX231362トピックを参照してください

nFactor認証の要素としての定期的な EPAスキャン

クラシックポリシーインフラストラクチャでは定期的な EPAスキャンがセッションポリシーアクションの部として構成されました度なポリシーインフラストラクチャではNファクタ認証の EPAファクタの部として構成できます

nFactor認証の要素として定期的な EPAスキャンを構成する法の詳細についてはCTX231361トピックをクリックしてください


トラブルシューティングの際は次の点に留意してください

bull 同じタイプのクラシックポリシーとアドバンスポリシー（セッションポリシーなど）は同じエンティティバインドポイントにバインドできません

bull すべての PIポリシーではプライオリティは必須ですbull VPNのアドバンスポリシーはすべてのバインドポイントにバインドできますbull 同じ優先度を持つアドバンスポリシーは単のバインドポイントにバインドできますbull 設定された認可ポリシーがいずれもヒットしない場合はVPNパラメータで設定されたグローバル認可アクションが適されます

bull 認可ポリシーでは認可規則が失敗しても認可アクションは取り消されません

クラシックポリシーでよく使される度なポリシーの等価式


ns_true true

ns_false false

REQHTTP HTTPREQ


Citrix Gateway 130


RESHTTP HTTPRES

HEADER ldquofoordquo HEADER(ldquofoordquo)

CONTAINS rdquobarrdquo CONTAINS(ldquobarrdquo) [Note use of ldquordquo]

REQIP CLIENTIP

RESIP SERVERIP

SOURCEIP SRC

DESTIP DST

REQTCP CLIENTTCP

RESTCP SERVERTCP

SOURCEPORT SRCPORT

DESTPORT DSTPORT

STATUSCODE STATUS

REQSSLCLIENTCERT CLIENTSSLCLIENT_CERT


テンプレートを使した簡略化された SaaSアプリケーション設定

March 26 2020

Citrix Gatewayでのシングルサインオンによる SaaSアプリケーションの構成は般的な SaaSアプリケーションのテンプレートドロップダウンメニューを Provisioningすることで簡素化されます設定する SaaSアプリはメニューから選択できますこのテンプレートはアプリケーションの構成に必要な多くの情報をあらかじめしていますただしお客様に固有の情報を提供する必要があります

注以下のセクションではテンプレートを使してアプリケーションを構成および公開するために CitrixGatewayで実する順について説明しますアプリケーションサーバーで実する設定順については以降のセクションで説明します


Citrix Gateway 130

テンプレートを使したアプリケーションの構成と公開-Citrix Gateway固有の構成

以下の設定ではテンプレートを使してアプリケーションを設定および発する例として AWSコンソールアプリケーションを使します

開始する前に次のものが必要です

bull AWSコンソールの管理者アカウント

bull Citrix Gatewayの管理者アカウント

AWSコンソールの設定順は次のとおりです

1 アプリケーションカタログを使して AWSコンソールを設定します

2 Citrix ADCから AWSコンソールの IdPメタデータをエクスポートします

3 AWSコンソールで IdPを設定します

ステップ 1 アプリケーションカタログで AWSコンソールを設定する


[Unified Gatewayの設定]画が表されます

2 [アプリケーション]セクションで[編集]アイコンをクリックしますさてプラスアイコンをクリックします[アプリケーション]ウィンドウが表されます

3 [アプリケーションタイプ]から [ SaaS ]を選択します

4 ドロップダウンリストから [ AWSコンソール]を選択します

5 アプリケーションテンプレートに適切な値をします

6 次の SAML設定の詳細をし[ Continue]をクリックします

サービスプロバイダ ID mdashhttpssigninawsamazoncomsaml

署名証明書名mdash IdP証明書を選択する必要があります

発者名 -発者名はあなたの選択に従って記することができます

属性 1 mdashhttpsawsamazoncomSAMLAttributesRole

属性 1の式mdashステップ 3にすようにロール ARNIdP ARN


ステップ 2 Citrix Gatewayから AWSコンソールの IdPメタデータをエクスポートします


Citrix Gateway 130


2 下にスクロールしてAWSコンソールテンプレートをクリックします[SaaSアプリケーション]ウィンドウが表されます[エクスポート]リンクをクリックします

3 メタデータが別のウィンドウで開きますIdPメタデータファイルの保存

ステップ 3 AWSコンソールへの IdPの設定

テンプレートを使したアプリの構成と公開-アプリサーバー固有の構成

以下はテンプレートを使して般的な SaaSアプリを構成および公開するためのアプリサーバー固有の構成に関するガイダンスを持っている pdfのリンクです

bull 15Five

bull Absorb

bull Accompa

bull Adobe Captivate Prime

bull Adobe Creative Cloud

bull Aha

bull Alertops

bull Allocadia

bull Ariba

bull Assembla

bull AWSコンソール

bull BambooHR

bull Base CRM

bull BitaBIZ

bull Bluejeans

bull Blissbook

bull Bonusly

bull Box

bull Bugsnag

bull Buildkite

bull CakeHR


Citrix Gateway 130

bull Cardboard

bull Cedexis

bull Celoxis

bull Cisco Meraki

bull ClearSlide

bull CloudCheckr

bull ConceptShare

bull Concur

bull Confluence

bull Contactzilla

bull Convo

bull Criconus

bull Dashlane

bull Datadog

bull Deskpro

bull Deputy

bull DigiCert

bull Docusign

bull Domo

bull Dropbox

bull Duo

bull efront

bull Ekarda

bull Envoy

bull ERP

bull Expensify

bull EZOfficeInventory

bull EZRentOut

bull Favro


Citrix Gateway 130

bull Federated Directory

bull Feedly

bull Fivetran

bull Flatter Files

bull Flowdock

bull Freshdesk

bull Front

bull G-Suite

bull GitHub

bull GlassFrog

bull GotoMeeting

bull Happyfox

bull Helpjuice

bull Help Scout

bull Hoshinplan

bull Humanity

bull Igloo

bull Illumio

bull Image Relay

bull iMeet Central

bull InteractGo

bull iQualify One

bull Jira

bull Kanban Tool

bull Keeper Security

bull Kentik

bull Kentik

bull Kissflow

bull KnowBe4


Citrix Gateway 130

bull KnowledgeOwl

bull Kudos

bull LaunchDarkly

bull Lifesize

bull Litmos

bull LiquidPlanner

bull LogDNA

bull Mango

bull Manuscript

bull Marketo

bull Mingle

bull Mixpanel

bull MuleSoft

bull MyWebTimesheets

bull New Relic

bull Nmbrs

bull Nuclino

bull Office365

bull OneDesk

bull OpsGenie

bull Orginio

bull Pagerduty

bull Panorama9

bull ParkMyCloud

bull Peakon

bull People HR

bull Pingboard

bull Pipedrive

bull PlanMyLeave


Citrix Gateway 130

bull PlayVox

bull Podio

bull ProdPad

bull Protoio

bull Proxyclick

bull PurelyHR

bull Quandora

bull Rackspace

bull RealtimeBoard

bull Remedyforce

bull Robin

bull Rollbar

bull Salesforce

bull Samanage

bull Samepage

bull Sentry

bull ServiceDesk Plus

bull ServiceNow

bull Shufflrr

bull Skeddly

bull Skills Base

bull Slack

bull Slemma

bull Slido

bull Smartsheet

bull Spoke

bull Spotinst

bull SproutVideo

bull StatusCast


Citrix Gateway 130

bull Status Hero

bull Statushub

bull Statuspage

bull Sumologic

bull Supermood

bull Syncplicity

bull Tableau

bull Targetprocess

bull Teamphoria

bull Testable

bull TestFairy

bull TextExpander

bull TextMagic

bull ThousandEyes

bull Thycotic Secret server

bull Tinfoil Security

bull Trisotech

bull Trumba

bull TwentyThree

bull Unifi

bull UserEcho

bull UserVoice

bull Velpic

bull VictorOps

bull Vidizmo

bull Visual Paradigm

bull Weekdone

bull Wepow

bull When I Work


Citrix Gateway 130

bull Workday

bull Workpath

bull Workplace

bull Workstars

bull Workteam

bull XaitPorter

bull Ximble

bull XMatters

bull Yodeck

bull Zendesk

bull Zivver

bull Zoho-one

bull Zivver

bull Zoom


EPAコンポーネントとしての nFactorでのデバイス証明書

March 26 2020

デバイス証明書はnFactorで EPAコンポーネントとして設定できますデバイス証明書はEPAの部として任意の要素として表できます

以下はEPAコンポーネントとして nFactorでデバイス証明書を構成する利点です

bull デバイス証明書の検証に失敗してもログオンエラーは発しません構成に基づいてログオンを続しアクセスを制限されたグループの下にユーザーを配置することができます

bull デバイス証明書のチェックはポリシーによって決定されるためデバイス証明書の認証に基づいて社内のイントラネットリソースへのアクセスを選択的に許可またはブロックできますたとえばデバイス証明書認証は企業で管理されているラップトップ上でのみの Office 365アプリケーションへの条件付きアクセスを提供するために使できます

デバイス証明書の検証を定期的な EPAスキャンに含めることはできません


Citrix Gateway 130

重要 Windowsではデフォルトでデバイス証明書にアクセスするための管理者権限が義務されています管理者以外のユーザーのデバイス証明書チェックを追加するにはデバイスに EPAプラグインと同じバージョンの VPNプラグインをインストールする必要があります

デバイス証明書を NFactorで EPAコンポーネントとして構成する

コマンドラインインターフェイスを使して nFactorのデバイス証明書を EPAコンポーネントとして構成するにはコマンドプロンプトで次のようにします

1 add authentication epaAction epa-act -csecexpr sysclient_expr(rdquodevice-cert_0_0rdquo) -defaultgroup epa_pass -quarantine_group epa_fail

Citrix ADC GUIを使してVPN仮想サーバーの EPAコンポーネントとして nFactorのデバイス証明書を構成するには

1 NetScaler GUIで「構成」gt「Citrix Gateway」gt「仮想サーバー」の順に選択します


3 [ VPN仮想サーバー]ページで[編集]アイコンをクリックします


5 [デバイス証明書の CA]セクションの横にある [追加]をクリックし[OK]をクリックします

[デバイス証明書を有効にする]チェックボックスは選択しないでくださいこれを有効にすると従来の EPAでデバイス証明書の検証が有効になります

6 NetScaler GUIで「構成」gt「セキュリティ」gt「AAA」mdash「アプリケーショントラフィック」gt「ポリシー」gt「認証」gt「度なポリシー」gt「アクション」gt「EPAgt」の順に選択します

7 [認証 EPAアクション]ページで[追加]をクリックします[ Edit ]をクリックすると既存の EPAアクションを編集できます

8 [認証 EPAアクションの作成]ページで認証 EPAアクションを作成するために必要なフィールドの値をし[ EPAエディタ]リンクをクリックします

9 [式エディタ]リストから [ 共通]を選択します

10 表される次のリストから [デバイス証明書]を選択し[完了]をクリックして設定を完了します

Citrix ADC GUIを使してnFactorでデバイス証明書を AAA仮想サーバの EPAコンポーネントとして構成するには次の順を実します

1 Citrix DC GUIで「セキュリティ」gt「AAAアプリケーショントラフィック」gt「仮想サーバー」の順に選択します



Citrix Gateway 130

3 [認証仮想サーバー]ページで[編集]アイコンをクリックします


5 [デバイス証明書の CA ]セクションの横にある [追加]をクリックします

6 追加する証明書を選択し[ OK ]をクリックして構成を完了します

7 前のセクションでした順 6〜 10を繰り返して設定を完了します



Citrix Gateway 130


LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States

copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of

Citrix Systems Inc andor one or more of its subsidiaries and may be registered with the US Patent and Trademark Office

and in other countries All other marks are the property of their respective owner(s)


Citrix Gateway のリリースノート

Citrix Gateway について

Citrix Gateway アーキテクチャ


一般的な展開

DMZ でのデプロイ



Citrix Gateway プラグインのシステム要件



ライセンス

Citrix Gateway のライセンスの種類

プラットフォームまたはユニバーサルライセンスファイルの入手

Citrix Gateway にライセンスをインストールするには


よくある質問

はじめに


前提条件





構成ユーティリティの使用

Citrix Gateway のポリシーとプロファイル




Citrix Gateway でのポリシーの作成




ポリシー式での演算子と演算子の使用

Citrix Gateway の構成設定の表示



ウィザードを使用したCitrix Gateway の構成

初回セットアップウィザードを使用したCitrix Gateway の構成

Configuring Settings with the Quick Configuration Wizard

Citrix Gateway ウィザードを使用した設定の構成

Citrix Gateway でのホスト名および完全修飾ドメインDNの構成



Citrix Gateway への署名付き証明書のインストール


認証にデバイス証明書を使用する


証明書を PFX 形式から PEM 形式に変換する


OCSP による証明書ステータスのモニタリング

OCSP 証明書ステータスの設定

Citrix Gateway 構成のテスト





Citrix Gateway でのIPアドレスの構成

マッピングされた IP アドレスの変更または削除

サブネット IP アドレスの設定

ユーザ接続用の IPv6 の設定

セキュリティで保護されたネットワークにある DNS サーバーの解決

DNS 仮想サーバの構成



Citrix Gateway でのルーティングの構成

自動ネゴシエーションの設定

認証と承認



認可の設定



認証の無効化









グループを使用したポリシーの設定

LDAP認証の構成

構成ユーティリティを使用して LDAP 認証を構成するには

LDAP ディレクトリ内の属性の決定

LDAP グループ抽出の設定

LDAP グループ抽出のユーザーオブジェクトからの直接の動作

LDAP グループ抽出がグループオブジェクトから間接的に機能する方法

LDAP 認可グループのアトリビュートフィールド

LDAP 認可を設定するには

LDAP ネストされたグループ抽出の設定

複数のドメインに対する LDAP グループ抽出の設定


複数のドメインの LDAP 認証ポリシーの作成

複数のドメインの LDAP グループ抽出のためのグループとバインディングポリシーの作成



2 要素クライアント証明書認証の設定





RADIUS 認証プロトコルの選択

IP アドレス抽出の設定

RADIUS グループ抽出の設定

RADIUS 認可を設定するには

RADIUS ユーザアカウンティングの設定

SAML認証の構成

SAML 認証を設定するには

SAML認証を使用してCitrix Gateway にログインする

SAML 認証の認証の改善

TACACS+ 認証の設定

基本設定のクリアTACACS 設定をクリアしない



2 要素認証の設定


クライアント証明書および LDAP 2 要素認証の設定


Windows でのシングルサインオンの設定


LDAPを使用したWebアプリケーションへのシングルサインオンの構成



ワンタイムパスワードの使用の設定

RSA セキュリティ ID 認証の設定

RADIUS を使用したパスワードリターンの設定





モバイルタブレットデバイスでRADIUS認証とLDAP認証を使用するようにCitrix Gateway を構成する

VPN ユーザエクスペリエンスの設定

Citrix Gateway プラグインでのユーザー接続のしくみ

セキュアトンネルの確立


Citrix Gateway プラグインのアップグレード制御

Citrix Gateway で完全なVPNセットアップを構成する

ユーザーアクセス方式の選択

ユーザーアクセス用のCitrix Gateway プラグインの展開

ユーザー用のCitrix Gateway プラグインの選択

Windows用のCitrix Gateway プラグインのインストール

Active Directory からのCitrix Gateway プラグインの展開

Active Directory を使用したCitrix Gateway プラグインのアップグレードと削除

Active Directory を使用したCitrix Gateway プラグインのインストールのトラブルシューティング

Java用Citrix Gateway プラグインを使用した接続

Citrix GatewayプラグインとCitrix Workspace アプリの統合

ユーザー接続と Citrix Workspace アプリの仕組み

Citrix WorkspaceアプリへのCitrix Gatewayプラグインの追加

Citrix Workspace アプリのアイコンの切り離し

ICA接続用のIPv6の構成

CitrixCitrix Gateway でのCitrix Workspace アプリのホームページの構成

ログオンページへのReceiverテーマの適用





Web アドレスのエンコーディング



Citrix Gateway を使用した高度なクライアントレスVPNアクセス



SharePoint サイトをホームページとして設定する

SharePoint 2007 サーバーの名前解決を有効にする

クライアントレスアクセスパーシステント Cookie の有効化

SharePoint のクライアントレスアクセス用の永続的な Cookie の構成

Web Interfaceを使用したクライアントレスアクセスのユーザ設定の保存


ログオン時のクライアント選択ページの表示




Citrix Gateway プラグインの接続を構成する








Citrix Gateway プラグイン用のイントラネットアプリケーションの構成

Java用Citrix Gateway プラグイン用のイントラネットアプリケーションの構成






VoIP 電話のサポート

Java用Citrix Gateway プラグインのアプリケーションアクセスの構成




Web リンクとファイル共有リンクの作成と適用





SAML シングルサインオンの設定






StoreFront のCitrix Gateway セッションポリシーの構成

エンタープライズブックマークの高度なポリシーサポート
























高度なエンドポイント分析スキャン

高度なエンドポイント分析スキャンの設定

高度なエンドポイント分析ポリシー式リファレンス

高度なエンドポイント分析スキャンのトラブルシューティング


AlwaysON

Windows ログオン前にAlwaysON VPN (正式には AlwaysOn サービス)

Windows ログオン前にAlwaysONの VPN を構成する


Unified Gateway に関する FAQ

ダブルホップDMZでの展開

ダブルホップDMZでのCitrix Gateway の展開


ダブルホップDMZ配置における通信フロー




接続の完了

ダブルホップ DMZ 配置の準備

ダブルホップDMZでのCitrix Gateway のインストールと構成

Citrix Gateway プロキシ上の仮想サーバーでの設定の構成


STAトラフィックとICAトラフィックを処理するようにCitrix Gateway を構成する


ダブルホップ DMZ 配置での SSL 証明書の管理

高可用性の使用

高可用性の仕組み

高可用性の設定

RPC ノードのパスワードの変更

プライマリアプライアンスとセカンダリアプライアンスの高可用性の構成


Citrix Gateway アプライアンスの同期

高可用性セットアップでの構成ファイルの同期




仮想 MAC アドレスの設定


IPv4 仮想 MAC アドレスの作成または変更


IPv6 用の仮想 MAC アドレスの作成または変更

異なるサブネットでの高可用性ペアの設定




リンク冗長性の設定


ノードからのフェイルオーバーの強制実行

プライマリまたはセカンダリノードでのフェイルオーバーの強制実行



クラスタリングの使用






Citrix Gateway での監査の構成

Citrix Gateway でのログの設定

ACL ロギングの設定

Citrix Gateway プラグインのログ記録の有効化


Citrix 製品との統合

ユーザーがアプリケーションデスクトップShareFileに接続する方法

Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使用した展開

Web Interfaceを使用したCitrix Virtual Apps and Desktops リソースへのアクセス


サーバファームへのセキュアな接続の確立

Web Interfaceを使用したデプロイ

セキュアネットワークでの Web Interfaceの展開

DMZでのCitrix Gateway と並行してWebインターフェイスを展開する

DMZでのCitrix Gateway の背後にあるWebインターフェイスの展開





Citrix Web Interface管理コンソールを使用したサイトの構成




単一のサイトへのCitrix Virtual Apps and Desktops の追加

Citrix Gateway を介したユーザー接続のルーティング




Citrix Gateway でのSecure Ticket Authorityの構成

Citrix Gateway での追加のWeb Interface設定の構成


Web Interfaceを使用したスマートカードアクセスの構成

Web InterfaceでのアプリケーションおよびVirtual Desktops へのアクセスの構成

SmartAccess 設定

Citrix Virtual Apps and Desktops での SmartAccess のしくみ

Citrix Virtual Apps ポリシーとフィルターの構成

SmartAccess のセッションポリシーを構成するには

Citrix Virtual Apps でのユーザーデバイスマッピングの構成


Citrix XenApp 65で非制限ポリシーを構成するには

隔離アクセス方法としてのCitrix Virtual Apps 有効化


SmartAccess 用のCitrix Virtual Desktops の構成

Citrix Virtual Desktops を使用したSmartAccessのセッションポリシーを構成するには

Citrix Virtual Desktops でポリシーとフィルターを構成するには 5

デスクトップDelivery Controller を STA として追加するには



Web アプリケーションへのシングルサインオンをグローバルに設定するには

セッションポリシーを使用して Web アプリケーションへのシングルサインオンを構成するには

Web アプリケーションへのシングルサインオン用の HTTP ポートを定義するには



スマートカードを使用した Web Interfaceへのシングルサインオンの構成

スマートカードを使用してシングルサインオン用にクライアント証明書を構成するには

Citrix Virtual Apps ファイル共有のシングルサインオンを構成するには



ファイルタイプの関連付けのためのCitrix Gateway の構成


Citrix Gateway とStoreFront の統合

Citrix Endpoint Management 環境の設定の構成

Citrix Endpoint Management またはCitrix XenMobileサーバー用の負荷分散サーバーの構成

電子メールセキュリティフィルタリングを使用した Microsoft Exchange 用のロードバランシングサーバーの構成

Citrix Endpoint Management Citrix ADCコネクタ（XNC）ActiveSync フィルタリングの構成

Citrix モバイル生産性アプリを使用したモバイルデバイスからのアクセスの許可

Citrix Endpoint Management のためのドメインおよびセキュリティトークン認証の構成


CloudBridge によるネットワークトラフィックの最適化

Gateway UX 設定での RfWebUI パーソナ

RDPプロキシ

ステートレス RDP プロキシ

RDP 接続リダイレクト

LDAP 属性に基づいて RDP URL を設定する

RDP プロキシを使用して RDP ファイル名をランダム化する

RDP アプリのファイル名を構成する

Citrix Gateway がVMwareホライゾンビューに対してPCoIPプロキシサポートを有効にしました

VMWare Horizon ビューの Citrix Gateway が有効になっている PCoIP プロキシの構成

VMware Horizon View 接続サーバの構成


Enlightened Data Transport サポートを使用するタイミング

EDTおよびHDX InsightをサポートするようにCitrix Gatewayを構成

L7 遅延しきい値


統合 Intune MDM ソリューションを使用するタイミング

Citrix GatewayとIntune MDMの統合について

単一要素ログイン用のCitrix Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成

Azure ADAL トークン認証について

Microsoft ADALトークン認証用のCitrix Gateway 仮想サーバーの構成

MicrosoftエンドポイントマネージャーでマイクロVPNを使用するためのCitrix Gateway のセットアップ

UDP トラフィックに対するサービスサポートのタイプ

Citrix Gateway でのアウトバウンドプロキシのプロキシ自動構成サポート

アウトバウンドICAプロキシのサポート

アウトバウンドICAプロキシの構成


認証のネイティブ OTP サポート

OTP のプッシュ通知

サーバ名表示拡張の設定

SSL ハンドシェイク中のサーバー証明書の検証

アドバンスポリシーを使用した VPN ポリシーの作成

テンプレートを使用した簡略化された SaaS アプリケーション設定

EPA コンポーネントとしての nFactor でのデバイス証明書