16. Установка Secure Gateway 2.0


С помощью Secure Gateway for MetaFrame (SG) администраторы могут защищать любое устройство, любое соединение конечных пользователей. На стадии конструирования вы определили, нужно ли устанавливать SG на серверы, и если нужно - то на какие. В этом разделе мы рассмотрим, как установить основное решение на базе Secure Gateway for MetaFrame, чтобы обеспечить безопасные соединения к фермам MetaFrame XP и MetaFrame Secure Access Manager.

16.1 Требования к установке

На инсталляционном компакт-диске находится документ, называемый “Citrix_Secure_Gateway_Checklist.pdf”, в котором содержатся требования к установке SG. Я настоятельно рекомендую с ним ознакомиться. Следующий раздел должен использоваться совместно с Citrix_Secure_Gateway_Checklist.pdf.

Перед запуском установки SG вы должны выполнить следующие задачи:

  1. Установить следующие сертификаты, а также корневые сертификаты:
  2. Убедитесь, что на брэндмауэре между интернет и шлюзовым сервером открыт порт 443.
  3. На сервере шлюза настройте IIS использовать порт, отличный от 443.
  4. На брэндмауэре между DMZ и защищенной сетью:

     

16.2 Как установить и настроить компонент STA

Первый компонент, который вы должны установить, это Secure Ticketing Authority (STA) - служба выдачи билетов. STA отвечает за выдачу билетов (ticekts) для сеансов в ответ на запросы соединения к опубликованным ресурсам. Эти билеты формируют основу аутентификации и авторизации при доступе к опубликованным ресурсам в ферме серверов MetaFrame XP.

Замечание: Если вы используете MetaFrame Secure Access Manager, то не обязательно устанавливать STA отдельно. Экземпляр STA устанавливается при установке MetaFrame Secure Access Manager.

16.2.1 Как установить Secure Ticket Authority на Windows 2000

  1. Убедитесь, что установлен и работает IIS 5.0
  2. Если вы защищаете коммуникации с сервером STA, то убедитесь, что на этом сервере установлен сертификат SSL.
  3. Убедитесь, что можете связаться с сервером STA по имени FQDN.
  4. Вставьте компакт-диск "MetaFrame XP Components CD" и на приветственном экране щелкните кнопку Secure Gateway.
  5. Щелкните кнопку Secure Ticket Authority.
  6. Щелкните Next.
  7. Примите лицензионное соглашение и щелкните Next.
  8. Щелкните Next.
  9. Выберите каталог скриптов веб-сервера. Если вы меняли размещение по умолчанию, то введите правильный каталог. Щелкните Next.
  10. Щелкните Next.
  11. Щелкните Finish чтобы принять конфигурацию по умолчанию.
  12. Выберите Advanced и щелкните Next.
  13. Если это ваш первый сервер STA, я рекомендую принять идентификатор по умолчанию, а следующие ID называть STA02, STA03 и т.д.
  14. Щелкните Finish.

Вы успешно установили STA и готовы к установке службы Secure Gateway на другом сервере.

16.3 Установка службы Secure Gateway

Служба Secure Gateway работает как шлюз между клиентами ICA и фермой серверов MetaFrame XP. Secure Gateway работает в виде службы Windows 2000 и должен быть установен на сервере Windows 2000.

16.3.1 Как установить Secure Gateway for MetaFrame XP и MSAM

Если пользователи должны будут подключаться к приложениям MetaFrame XP и/или к центрам доступа MetaFrame Secure Access Manager, то выполните следующую процедуру.

Замечание: Если вы хотите, чтобы конечные пользовали использовали как Web Interface 2.1, так и MetaFrame Secure Access Manager, то вам необходимо установить Web Interface, как описано ранее.

Ниже описано, как установить и настроить Secure Gateway для подключения к MetaFrame Secure Access Manager 2.0 и MetaFrame XP через Web Interface 2.1.

  1. Вставьте компакт-диск "MetaFrame XP Component" в CDROM, откройте папку \CitrixSecureGateway\Windows\ и дважды щелкните файл CSG_GWY.msi
  2. Первый экран спрашивает режим установки. Здесь вы можете задать, будете ли вы использовать "двухфазную" особенность ("double-hop”) шлюза. В нашем примере выберите опцию Secure Gateway Service. Подробнее о "двухфазной" особенности см. "Руководство администратора Secure Gateway for MetaFrame". Вы должны выбрать, какие продукты MetaFrame вы будете защищать. В нашем примере мы будем защищать MetaFrame Secure Access Manager и MetaFrame XP, поэтому выберите MetaFrame Secure Access Manager and MetaFrame XP Server и щелкните Next.
  3. Поскольку мы выбрали Secure Access Manager, то вам предлагается выбрать используемый Logon Agent. Citrix предоставила возможность выбрать "базовый" режим инсталляции или с поддержкой RSA SecurID. Выберите желаемую опцию и щелкните Next для продолжения.
  4. Запускается установка Secure Gateway for MetaFrame. Для продолжения щелкните Next.
  5. Примите лицензионное соглашение и щелкните Next.
  6. Для продолжения щелкните Next.
  7. Выберите устанавливаемые компоненты. В версии 2.0, Citrix предоставляет возможность установки компонентов на одном сервере или на разных. В нашем примере мы установим оба компонента на одном сервере, поэтому выберите оба компонента и щелкните Next.
    Замечание: Если вы хотите использовать компоненты раздельно, то установите только Secure Gateway Service. Затем повторите следующие шаги для установки Logon Agent на другом сервере.
  8. Выберите уровень конфигурации для Logon Agent. Выберите Advanced щелкните Next.
  9. На следующем экране вам следует настроить, как Logon Agent будет контактировать со службой аутентификации, выполняемой на сервере MetaFrame Secure Access Manager в защищенной сети. Служба аутентификации (Authentication Service) принимает запросы аутентификации и авторизации HTTP(S) при доступе к центральным ресурсам. Эта служба аутентифицирует и авторизует пользователей и выдает билеты, передаваемые браузеру клиента.
    Введите в поле FQDN имя сервера MetaFrame Secure Access Manager, на котором выполняется служба аутентификации. Введите имя центра доступа в поле Path между символами / и /Auth…. В этом примере я назвал центр доступа mydabcc.
    Для защиты коммуникаций между сервером Logon Agent и службой аутентификации с помощью SSL, вам необходимо поместить сертификат сервера на сервер со службой аутентификации, а ассоциированный корневой сертификат - на веб-сервер с Logon Agent, а также включить опцию Secured with HTTPS. Если необходимо использовать другой порт, отличный от 80 или 443, то уберите флажок Use default и введите нужный номер порта TCP.
    Для продолжения щелкните Next.
  10. Выберите Set server’s default Web page to point to the Logon Agent, чтобы Logon Agent загружался на этом сервере как страница по умолчанию. Например, если пользователь подключается к https://www.dabcc.com/, пользователь автоматически перенаправится на Logon Agent. Выбор этой опции переопределит страницу по умолчанию, т.е. default.asp. Это действие нельзя вернуть обратно, поэтому убедитесь, что у вас нет страницы по умолчанию в корне сайта, а если есть, то отключите эту опцию, сделайте резервную копию файла default.asp.

    На этом этапе конфигурация Logon Agent завершается. Щелкните Finish для сохранения настроек и продолжения.

  11. Теперь выберите уровень конфигурации для Secure Gateway. Выберите Advanced щелкните Next.
  12. Выберите, какой сертификат SSL веб-сервера вы хотите использовать, и щелкните кнопку View. Если у вас нет правильного сертификата SSL, то обратитесь к разделу "Установка сертификата SSL"
  13. Проверьте дату и время сертификата, щелкните вкладку Details и убедитесь, что сертификат правильный. Щелкните ОК.
  14. Выберите протокол и криптонабор, используемые для коммуникации между службой Secure Gateway и клиентами.

    В разделе Select cipher suit выберите криптонабор, который должен использоваться службой Secure Gateway.

  15. Следующий экран запрашивает список адресов IP и портов, на которых Secure Gateway слушает входящие соединения.
    Выберите Monitor all IP addresses, чтобы Secure Gateway слушал на всех адресах, доступных на этом сервере.
    Введите номер порта. По умолчанию 443.
    Для добавления адреса щелкните Add. Для редактирования адреса выделите его и щелкните Modify, а для удаления щелкните Delete.
    Для продолжения щелкните Next.
  16. В версии Secure Gateway 2.0 вы можете применить ограничения исходящего траффика к серверам, расположенным в DMZ или в защищенной сети, используя следующие механизмы:

    Выберите подходящую конфигурацию и щелкните Next для продолжения.

  17. Настройте связь между сервером Secure Gateway и службой аутентификации.
  18. На следующем экране вам предлагается перечислить STA, к которым Secure Gateway будет обращаться за билетами. Для отказоустойчивости вы можете создать несколько STA. В этом случае убедитесь, что список перечисленных здесь STA совпаадет со списком в Web Interface.
    Щелкните Add для добавления элементов в список серверов STA.
  19. Следующий экран предлагает указать подробности о сервере, на котором выполняется Secure Ticket Authority.В поле FQDN введите полное доменное имя сервера STA. В поле Path укажите размещение файла CtxSTA.dll, который обычно находится в каталоге Inetpub/Scripts. Включите опцию Secured with HTTPS, если вы хотите шифровать коммуникации с STA используя SSL или TLS. Это требует наличия на сервере STA сертифката веб-сервера и соотвествующего корневого сертификата на сервере Secure Gateway.

    Для продолжения щелкните OK.
  20. Повторите предыдущие шаги для добавления дополнительных серверов STA и по завершении щелкните Next.
  21. Окно Connection parameters позволяет задать, как Secure Gateway будет обрабатывать клиентские соединения.
  22. Перечислите все адреса IP сетевых устройств, обычно балансировщиков нагрузки, которые генерируют излишнюю информацию, которую вы хотите исключить из журнала событий Secure Gateway.
    Некоторые устройства могут часто опрашивать службу Secure Gateway,чтобы убедиться в ее активности. Каждый опрос считается как соединение, поэтому журнал быстро переполняется ненужной информацией. Чтобы такая активность не фиксировалась в журнале, укажите адреса IP таких устройств.
  23. Выберите уровень журнализации для службы Secure Gateway. Эти настройки определяют, какие типы ошибок и событий будут фиксироваться в журнале событий приложений.
  24. Введите информацию о сервере, на котором выполняется Logon Agent или Web Interface for MetaFrame XP.
    В блоке Location укажите размещение сервера Logon Agent или Web Interface.
  25. Вы успешно установили Secure Gateway for MetaFrame для защиты траффика ICA, проходящего через Web Interface 2.1.
    Щелкните Finish для выхода и перезагрузки.

16.3.4 Как установить Service Pack 1 для Secure Gateway 2.0 for MetaFrame

Если вы развертываете MetaFrame Secure Access Manger 2.0 SP1/2 и Secure Gateway for MetaFrame, то вам необходимо установить SP1 для Secure Gateway Service. Ниже описано, как это сделать.

  1. Во время установки MetaFrame Secure Access Manager 2.0 вы можете загрузить и установить Service Pack 1. Он обновляет MetaFrame Secure Access Manager до версии 2.1 и устраняет некоторые проблемы с Secure Gateway. Учитывая это, критически важно обновить службу Secure Gateway
  2. Скопируйте распакованные файлы SP1 на сервер Secure Gateway и дважды щелкните autorun.exe. Щелкните кнопку Secure Gateway for MetaFrame.
  3. Щелкните Next для продолжения.
  4. Щелкните Next для продолжения.
  5. Щелкните Finish.

Вы успешно обновили службу Secure Gateway. Программа установки должна перезапустить службу, но все равно проверьте на всякий случай, что служба работает, воспользовавшись апплетом Services в Administrative Tools.

16.3.5 Как настроить Login Agent

Если пользователи для регистрации в центрах доступа будут использовать Secure Gateway, то пользователи будут входить с помощью Logon Agent, а не CDA.
Logon Agent представляет собой веб-службу входа на базе ASP, которая отображает страницу входа и обрабатывает запросы входа.

Клиенты не должны иметь доступа к Logon Agent минуя шлюз. В противном случае центр доступа не загрузится. Это относится и к случаю, когда Logon Agent сосуществует со службой Secure Gateway на одной машине.

Logon Agent поставляется с двумя шаблонами - один используется для запроса имени пользователя, пароля и домена, а второй поддерживает интеграцию с RSA SecurID.

После успешной аутентификации AuthService возвращает:

Производительность

Logon Agent может обрабатывать около 20 входов в секунду, работая на выделенном сервере с процессором 1GHz. По умолчанию Logon Agent устанавливается на сервере шлюза. Это подходит для небольших сред (менее 1000 пользователей). Но для больших сред агент необходимо размещать на выделенных машинах. При необходимости можно использовать несколько агентов для одного шлюза.

Ниже показано, как настроить файл AuthService_conf.asp.

  1. На сервере IIS, выполняющем Logon Agent, войдите в папку \wwwroot\LogonAgent и найдите файл AuthService_conf.asp. Откройте его в текстовом редакторе для настройки.
  2. Чтобы указать уровень журнализаии, отличный от умолчательного, измените значение LP_LogLevel:

    <!-- AuthService_conf.asp -->
    <!-- Copyright (c) 2003 Citrix Systems, Inc. All rights reserved -->
    <%
    ' ----------------------
    ' Login Proxy Atributes
    '-----------------------
    ' Set numeric values of LP_LogLevel to desired log level,
    ' available log levels are:
    '   0 - Fatal
    '   1 = Error + Fatal
    '   2 = Warning + Error + Fatal
    '   3 = Information + Warning + Error + Fatal
    '
    const LP_LogLevel =
    3

  3. Можете изменить значение LP_PageTitleStr, указав свою строку, отображаемую в заголовке страницы, выводимой агентом.
  4. Значение LP_LogoTitleStr менять нельзя.
  5. Значение LP_CookieSecure определяет, должны ли все значения cookie быть помеченными как безопасные. Я не рекомендую менять это значение.
  6. Вы можете принудить пользователей использовать указанный вами домен и запретить им его менять.
    Значение LP_DomainMode позволяет сказать агенту использовать указанный вами домен. Введите нужное значение, как указано ниже. Я рекомендую принудительно указывать домен везде, где это возможно. В нашем примере я указываю агенту использовать домен DABCC.

    ' -------------
    ' Domain mode
    ' -------------
    ' Set numeric value of LP_DomainMode to indicate mode
    ' of operation, available domain modes:
    '   0 = User defined
    '   1 = Force to domain, specified by LP_ForceLogonDomain below
    '   2 = Dropdown list as specified by LP_Domains below
    const LP_SomainMode = 1


  7. Установите в константе LP_ForceLogonDomain значение домена, используемое при входе.

    ' Force Domain: If LP_DomainMode is 1 (force), LP_ForceLogonDomain defines
    ' the forced domain name
    const LP_ForceLogonDomain = "dabcc"


  8. Если требуется доступ к нескольким доменам, вы можете создать раскрывающийся список нужных доменов. Значение LP_DomainCount предоставляет возможность использовать несколько доменов. Значение 1 разрешает использовать список, а 0 - запрещает.

    const LP_DomainCount = 0

  9. Значения LP_Domains(X) работают совместно с LP_DomainCount и задают список доменов, отображаемых в раскрывающемся списке. Введите имя нужного домена в кавычках; добавьте нужное число строк, увеличивая индекс в скобках.
  10. Оставшиеся строки не трогайте

Вы успешно сконфигурировали Logon Agent. Теперь выполните IISRESET, чтобы изменения вступили в силу.

16.3.6 Как запретить Gateway Client

По умолчанию, если вы используете Secure Gateway для входа в центр доступа MetaFrame Secure Access Manager 2.0, то Logon Agent автоматически устанавливает на клиентском устройстве Gateway Client. Если по каки-то причинам вы хотите запретить этого клиента, то вам следует выполнить следующие шаги. Например, если требуется вход на сайт, защищенный паролем, из локального сайта, то вы можете убрать Gateway Client, поскольку он это не поддерживает.

Один из способов состоит в переименовании файла .cab на внутреннем веб-сервере MetaFrame Secure Access Manager. Клиент шлюза находится в файле Inetpub\wwwroot\<Access_Center_Name >\CDS\CGC\en\CSGProxy.cab. Например, переименуйте файл CSGProxy.cab в _CSGProxy.cab.

Другой подход состоит в модификации кода:

Оргинальный код

If bCSGEnabled Then
   %>
   function <%=Namespace("CGCTest")%>()
   {
     var oCGC = null;
try {
oCGC = new ActiveXObject("CSGProxy.CitrixSecureGatewayProxy.1"); } catch(e) { } return (oCGC != null); } <% End If %>

Запрещающий код:

If bCSGEnabled Then
   %>
   function <%=Namespace("CGCTest")%>()
   {
    /*
    var oCGC = null;
    try {
      oCGC = new ActiveXObject("CSGProxy.CitrixSecureGatewayProxy.1");
    }
    catch(e) {
    }
    return (oCGC != null);
    */
   }
   <%
   End If
   %>

16.3.7 Как настроить Web Interface, чтобы он использовал Secure Gateway

После того, как мы настроили компоненты Secure Gateway, мы готовы вернуть ваше внимание к Web Interface 2.1.

Ниже показано, как настроить Web Interface 2.1 на использование Secure Gateway

  1. Откройте Web Interface Web Administrator (http://web interface server/citrix/metaframexp/wiadmin)
  2. Щелкните ссылку Server-Side Firewall
  3. Появится страница настройки серверного брэндмауэра. В блоке Default address translation setting выберите опцию Secure Gateway for MetaFrame.
  4. Вы можете указать индивидуальные настройки трансляции адресов для каждого адреса IP. Если вы хотите установить, чтобы некоторый адрес IP использовал иной метод трансляции, отличный от умолчательного, то введите номер IP сети в поле Client address prefix, выберите в блоке Option
    метод трансляции и щелкните Add.
  5. Щелкните ссылку Server-Side Firewall и найдите на странице раздел Secure Gateway for MetaFrame.
  6. В поле Address (FQDN) введите имя FQDN сервера, на котором выполняется SG.
  7. В поле Port введите номер порта, на котором слушает служба SG.
  8. Если у вас есть брэндмауэр, транслирующий адреса между SG и сервером MetaFrame XP, то включите опцию Use alternate addresses of MetaFrame
    servers
    .
  9. В поле Secure Ticket Authorities URL введите вместо <server> имя NETBIOS сервера, выполняющего компонент STA и щелкните кнопку Add.
  10. Повторите предыдущий шаг для добавления других серверов STA. Если у вас несколько серверов STA, то я рекомендую включить опцию Use the Secure Ticket Authority list for load balancing для включения циклического распределения нагрузки.
  11. По завершении щелкните Save. Щелкните ссылку Apply Changes.
  12. Щелкните ссылку Apply Changes, чтобы изменения вступили в силу.

16.4. Инструменты управления Secure Gateway for MetaFrame

В Secure Gateway for MetaFrame 2.0 добавлено несколько инструментов управления, чтобы облегчить администрирование. Есть Management Console для наблюдения за соединениями с Secure Gateway, и утилита диагностики Diagnostics Utility для помощи при поиске неисправностей.

16.4.1 Secure Gateway Management Console

Консоль управления Secure Gateway выполняется в виде оснастки к MMC и позволяет администраторам следить за активными соединениями HTTP, следить и управлять активными соединениями ICA, отображать конфигурацию шлюза, отображать мониторипроизводительности шлюза и запускать утилиту конфигурации.

Secure Gateway for MetaFrame Management Console позволяет наблюдать и управлять следующим:

Консоль управления запускается так: Start -> Programs -> Citrix -> Secure Gateway -> Secure Gateway Management Console.

16.4.2 Secure Gateway Diagnostics

Инструмент диагностики шлюза отображает подробную информацию и проверяет ссылки между внутренними компонентами. Он анализирует все опции конфигурации и помечает потенциальные проблемы предупреждающими значками.

Ниже показано, как запустить утилиту диагностики:

  1. На сервере, выполняющем Secure Gateway, щелкните service Start -> Programs -> Citrix -> Secure Gateway -> Secure Gateway Diagnistics.
  2. Запустится анализ, после чего вам будут представлены его результаты. Если встретились какие-нибудь проблемы, вы можете раскрыть соотвестствующий узел и получить более подробную информацию.

Установка сертификатов SSL и защищенного веб-сервера Содержание Инструменты удаленного администрирования MetaFrame XP