仮想化エンジニア奮闘記

Citrix や VMware といったサーバー・デスクトップ仮想化の最新技術や設計情報の検証結果を共有します。(本ブログは個人のものであり、所属する会社とは関係ありません。)

NetScaler で ICA Proxyを構築してみた(6)

皆さまお疲れ様です。引き続きNetScalerの構築を進めます。

 

前:NetScaler で ICA Proxyを構築してみた(5)

次:NetScaler で ICA Proxyを構築してみた(7)

※本記事はNetScaler 12.56で検証を行っています

 

+++++NetScaler 構築ステップ+++++
① NetScaler OVFテンプレートのデプロイと初期セットアップ
② HAペアの作成
③ StoreFront / ICA Proxyサーバ証明書の作成
④ StoreFront Load Balancing Virtual Server 作成
⑤ ICA Proxy Virtual Server 作成 ←今ココ
⑥ StoreFrontの設定
+++++++++++++++++++++++++++

 

今回でNetScalerの設定としては最後となります。

ICA ProxyのVirtual Serverを作成していきます。

 

◆Authentication Policyの作成

NetScaler GatewayではNetScaler自体がログイン認証を行います。

そのため、Active Directoryなどの認証サーバの情報登録が必要となります。NetScalerでは認証サーバの情報を「Authentication Policy」というポリシーで設定します。

 

1) 証明書やLoad Balancingと同じく、NetScaler Gatewayも最初は機能が無効化されています。今までと同じように「Enable Feature」を実行します。

 

2) 左ペインから「NetScaler Gateway - Policies - Authentication - LDAP」に遷移します。

 

3) 画面中央から「Servers」タブに遷移し、「Add」を実行します。

f:id:kenta53682:20180906115242p:plain

 

4) ADサーバの情報登録をする画面となります。以下の設定を行い、「Test Connection」を実行します。接続が上手くいったら、そのまま下にスクロールしましょう。

Name:任意の名前を入力

Server Name or Server IPFQDNIPアドレスを選択し、ADサーバの情報を入力

Security Type:画像では「PLAINTEXT」だが、その他「SSL」「TLS」など環境に応じて入力

Port:Security Typeに応じて既定のポートが表示されるが、既定から変更されている場合は変更

Server Type:「AD」か「NDS」から環境に応じて適切な方を選択

Base DN:NetScalerにログインするユーザのBase DNを入力

Administrator Bind DNLDAP検索ができる管理者アカウントのDNを入力

Administrator Password:管理者アカウントのパスワードを入力

f:id:kenta53682:20180906115528p:plain

 

5) 下にスクロールしたら、「Server Logon Name Attribute」から「sAMAccountName」を選択し、「Create」を実行します。

f:id:kenta53682:20180906120208p:plain

 

6) 画像のようにADサーバが登録されたら、「Policies」タブに遷移します。

f:id:kenta53682:20180906120630p:plain

 

7) 「Policies」タブに遷移したら、「Add」を実行します。

f:id:kenta53682:20180906120739p:plain

 

8) LDAP Policy設定画面が表示されます。下記設定を行い、「Create」を実行します。

Name:任意のポリシー名を入力

Server:手順6までで登録したADサーバ1台をプルダウンから選択

Expression:適切なExpressionを入力

f:id:kenta53682:20180906120937p:plain

※手順8のPolicy設定は、Expressionで定義されたポリシーに合致する接続に対して認証先のADサーバを割り当てる設定となります。

手順8のExpressionでは「ns_true」と記載していますが、これは「NetScaler Gatewayへのすべての接続に対して適用されるポリシー」という表現です。

Expressionで定義できる内容は色々あるのですが、例えばソースIPに応じて認証先のADサーバを分けたりすることができます。設定できるポリシーは「Expression Editor」で確認が可能です。

 

9) ポリシーが作成されたら、冗長化のため同様に最低でももう1台のADサーバの登録とポリシー作成を行います。

※私の環境ではADサーバが1台しかないため、1台のみの登録としています。

 

 

◆Session Profileの作成

Session ProfileではNetScaler Gatewayに接続した際、どのStoreFront URLに接続をするのか設定を行います。

 

1) 左ペインから「NetScaler Gateway - Policies - Session」に遷移します。

 

2) 画面中央から「Session Profiles」タブに遷移し、「Add」を実行します。

f:id:kenta53682:20180907135526p:plain

 

3) 「Name」欄に任意の名前を入力したら、「Security」タブに遷移します。

f:id:kenta53682:20180907135743p:plain

 

4) 「Security」タブに遷移したら、「Default Authorization Action」にチェックを入れ、「ALLOW」と表示されていることを確認します。これをしないとNetScaler GatewayでAD認証が通らなくなります。

f:id:kenta53682:20180907135945p:plain

 

5) 続いて「Published Applications」タブに遷移し、下記の通りに設定を行います。これでSession Profileとしては最低限の設定ができたため、「Create」を行います。

ICA Proxy:チェックを入れ、「ON」にする

Web Interface Address:StoreFrontのLoad Balancerのアドレスを入力する

Single Sign-on Domain:必要に応じてドメイン名を入力する

f:id:kenta53682:20180907140244p:plain

 

6) プロファイルの作成が完了したら、「Session Policies」タブに遷移し、次の手順に進みましょう。

f:id:kenta53682:20180907140623p:plain

※今回紹介したのはICA Proxyを利用する場合の最小限の設定となります。NetScaler GatewayではICA Proxy以外にもVPN機能の提供などを行っており、その場合は他の項目に関しても設定が必要だったりします。時間があればどういう設定項目があるのか調べてみましょう。

 

 

◆Session Policyの作成

先ほど作成したSession ProfileをNetScaler Gatewayへのどの接続に対して割り当てるかを設定します。

 

1) 「Session Policies」タブ遷移後に「Add」を実行します。

f:id:kenta53682:20180907142441p:plain

 

2) Authentication Policyと似た画面が出てきます。下記設定を行い、「Create」を実行します。

Name:任意のポリシー名を入力

Profile:プルダウンからSession Profileを選択

pe_rule:適切なExpressionを入力

f:id:kenta53682:20180907143043p:plain

 

3) 「Session Policies」が作成されていることを確認します。

f:id:kenta53682:20180907143553p:plain

 

今回は1プロファイルしか作成していませんが、例えば「iPadからの接続ではReceiverアプリを使用するためストアサイトに接続させる」、「PCからの接続ではReceiver for Webに接続させる」などクライアント端末に応じてStoreFrontの接続先を変える場合は下記のように設定を行います。

①Session Profileを2つ作成する。1つはWeb Interface Addressにストアサイトを、もう1つはReceiver for Webサイトを設定し、その他の設定は統一する。

②Session Policyを2つ作成する。Expressionで、User Agentに「CitrixReceiver」が含まれるかどうかで処理を分ける。

 

iPadからの接続:Receiverアプリからの接続で、User Agentに「CitrixReceiver」が含まれるため、ストアサイトに接続するSession Profileが適用される

PCからの接続:ブラウザからの接続で、User Agentに「CitrixReceiver」が含まれないため、Receiver for Webに接続するSession Profileが適用される 

 

クライアント端末に応じたReceiver for WebのExpressionは下記が参考になります。

Configuring Session Policies and Profiles for App Controller and StoreFront

 

 

◆ICA Proxy用Virtual Serverの作成

長い道のりでしたが、ようやくICA Proxy用のVirtual Serverの作成に入ります。

 

1) 左ペインから「NetScaler Gateway - Virtual Servers」に遷移します。

 

2) 画面中央から「Add」を実行します。

f:id:kenta53682:20180907144321p:plain

 

3) 「Name」欄に任意の名前を入力し、「IPAddress」にVirtual ServerのIPアドレスを入力して「OK」を実行します。

f:id:kenta53682:20180907144449p:plain

 

4) NetScaler Gatewayへの接続は必ず「https」となるため、サーバ証明書のバインドが必要となります。本シリーズの(4)で作成したICA Proxy用のサーバ証明書をバインドし、「Continue」を実行します。

f:id:kenta53682:20180907144750p:plain

 

5) 続いて認証ポリシーのバインドを行います。先ほど作成したLDAP Policyをバインドし、「Continue」を実行します。

f:id:kenta53682:20180907144900p:plain

 

6) 「Advanced Authentication」は特にないため、そのまま「Continue」を実行します。

f:id:kenta53682:20180907144959p:plain

 

7) 6)の色々と設定が表示されますが、画面の1番下までスクロールして「+」を実行します。

f:id:kenta53682:20180907145143p:plain

 

8) 何のポリシーをバインドするか選択する画面となるため、「Session」の「Request」を選択して「Continue」を実行し、先ほど作成したSession Policyをバインドします。

f:id:kenta53682:20180907145449p:plain

 

9) Session Policyがバインドできたら、画面右から「Published Applications」を実行します。

f:id:kenta53682:20180907145720p:plain

 

10) 「No STA Server」を実行します。

f:id:kenta53682:20180907145823p:plain

 

11) 「Add binding」からSTAサーバ(Delivery Controller)のアドレスを入力します。正しいURLが入力されていれば、Stateが「UP」となり、「Auth ID」が表示されます。

f:id:kenta53682:20180907145956p:plain

 

12) 以上の設定が完了したら、設定画面の下までスクロールして「Done」を実行します。ICA Proxy用のVirtual Serverが作成されたことを確認します。

f:id:kenta53682:20180907150114p:plain

 

それでは本日は以上となります。

次回でICA Proxy構築の記事は最後となります。

引き続き最後までよろしくお願いいたします。