Citrix über Browser und Access Gateway nutzen
Hallo liebe Forumgemeinde,
ich nutze dieses spitzen Forum schon seit langer Zeit um immer wieder Informationen und hilfreiche Tips zu bekommen. Bisher jedoch nur passiv, d.h. dies ist mein erster Beitrag *aufgeregt*
Und zwar wir nutzen in einem Unternehmen mit knapp 10 Mitarbeitern Citrix XenApp 6.5. auf eine Win 2008 R2 Server.
Die mobilen User wählen sich über einen VPN Client in die Firma ein und starten dann über den Citrix Receiver eine Session. Funktioniert auch alles seit längerem schon wunderbar.
Mein Chef hat jetzt aber in anderen Firmen gesehen, dass man solche Sessions auch über den Browser aufbauen kann. Vor allem auch viel schneller, da man sich die VPN Schritte spart.
Und hier bräuchte ich jetzt eure Hilfe und euren Rat.
Wie müsste man das umsetzen?
Habe gelesen, dass dies wohl mit dem Citrix Access Gateway zu machen wäre. Aber wo installiere ich das dann? Auf dem Citrix Server selbst oder besser auf einem separaten Server?
Wie findet ihr steht es dann mit der Sicherheit? So wie ich das bisher verstehe, ist dann die einzige Barriere das Userpasswort, richtig?
Beim VPN Client haben wir noch eine Zertifikatsauthentifizierung was es, finde ich, sicherer macht.
Bin um jeden Tip dankbar, da ich noch am Anfang stehe bei dieser Aufgabe.
Danke und Gruß
Aktuator
ich nutze dieses spitzen Forum schon seit langer Zeit um immer wieder Informationen und hilfreiche Tips zu bekommen. Bisher jedoch nur passiv, d.h. dies ist mein erster Beitrag *aufgeregt*
Und zwar wir nutzen in einem Unternehmen mit knapp 10 Mitarbeitern Citrix XenApp 6.5. auf eine Win 2008 R2 Server.
Die mobilen User wählen sich über einen VPN Client in die Firma ein und starten dann über den Citrix Receiver eine Session. Funktioniert auch alles seit längerem schon wunderbar.
Mein Chef hat jetzt aber in anderen Firmen gesehen, dass man solche Sessions auch über den Browser aufbauen kann. Vor allem auch viel schneller, da man sich die VPN Schritte spart.
Und hier bräuchte ich jetzt eure Hilfe und euren Rat.
Wie müsste man das umsetzen?
Habe gelesen, dass dies wohl mit dem Citrix Access Gateway zu machen wäre. Aber wo installiere ich das dann? Auf dem Citrix Server selbst oder besser auf einem separaten Server?
Wie findet ihr steht es dann mit der Sicherheit? So wie ich das bisher verstehe, ist dann die einzige Barriere das Userpasswort, richtig?
Beim VPN Client haben wir noch eine Zertifikatsauthentifizierung was es, finde ich, sicherer macht.
Bin um jeden Tip dankbar, da ich noch am Anfang stehe bei dieser Aufgabe.
Danke und Gruß
Aktuator
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202553
Url: https://administrator.de/forum/citrix-ueber-browser-und-access-gateway-nutzen-202553.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
18 Kommentare
Neuester Kommentar
Moin,
richtig, das geht über das Citrix Access Gateway. Auf dem/dne XenApps wird das Webinterface installiert, das CAG (das in der DMZ stehen sollte) stellt dann eine Art Portal im Internet bereit über das dann auf die XenApp Server zugegriffen werden kann.
Das CAG an sich gibt es als Echte Hardware oder als Virtuelle Appliance (z.b. für VMWare).
Authentifiziert wird gegen das Active Directory. Wem das zu wenig ist, der setzt Tokens (von RSA oder Aladdin) ein die pro Anmeldung ein OTP generieren.
lg,
Slainte
richtig, das geht über das Citrix Access Gateway. Auf dem/dne XenApps wird das Webinterface installiert, das CAG (das in der DMZ stehen sollte) stellt dann eine Art Portal im Internet bereit über das dann auf die XenApp Server zugegriffen werden kann.
Das CAG an sich gibt es als Echte Hardware oder als Virtuelle Appliance (z.b. für VMWare).
Authentifiziert wird gegen das Active Directory. Wem das zu wenig ist, der setzt Tokens (von RSA oder Aladdin) ein die pro Anmeldung ein OTP generieren.
lg,
Slainte
Wenn ich das Wort "Portforwarding" höre, schrillen bei mir die Alarmglocken.
Auch bei Design und Implementierung von IT-Sicherheitskonzepten gibt es "Best Practices". Eine der wichtigsten Grundregeln lautet: "Es gibt keinen direkten Zugriff zwischen öffentlichem Netz und internem Netz". Der Weg führt immer über ein spezialisiertes Application-Layer-Gateway auf einem dedizierten Host in der bzw. einer DMZ. Übrigens auch für Verbindungen, die von inside nach outside initiiert werden!
Gruß
sk
Auch bei Design und Implementierung von IT-Sicherheitskonzepten gibt es "Best Practices". Eine der wichtigsten Grundregeln lautet: "Es gibt keinen direkten Zugriff zwischen öffentlichem Netz und internem Netz". Der Weg führt immer über ein spezialisiertes Application-Layer-Gateway auf einem dedizierten Host in der bzw. einer DMZ. Übrigens auch für Verbindungen, die von inside nach outside initiiert werden!
Gruß
sk
Das bringt keine Vorteile - außer dass man dann das SMB-Protokoll von dieser Schnittstelle entbinden könnte. Aber letzteres sollte auf dem Router ohnehin nicht weitergeleitet werden.
Wenns gar nicht anders geht, virtualsiert man halt die DMZ. Das ist heute ohnehin Standard - allerdings hält man hierfür idealerweise eine separate physische Virtualisierungsinfrastruktur vor.
Gruß
sk
Wenns gar nicht anders geht, virtualsiert man halt die DMZ. Das ist heute ohnehin Standard - allerdings hält man hierfür idealerweise eine separate physische Virtualisierungsinfrastruktur vor.
Gruß
sk
Moin,
nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt
lg,
Slainte
nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt
Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss
und dann aber über den Browser die Session aufbauen kann, ...
Ja der Client braucht auf jedenfall ein Stück Software installiert. Entweder den Reciever, oder das Web Online Plugin.und dann aber über den Browser die Session aufbauen kann, ...
lg,
Slainte
Dann wäre es an der Zeit, dies zu überdenken.
Zitat von @Aktuator:
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync
Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port
gedreht werden muss?
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync
Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port
gedreht werden muss?
Der Client muss in diesem Fall selbstverständlich auf einem anderen Port anfragen.
Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an ...
Keine Ahnung. Ist nicht meine Baustelle. Aber wolltest Du bzw. der Chef nicht ohnehin die clientlose, rein browserbasierte Variante nutzen? http://www.youtube.com/watch?v=u9GyL-6K3xU
Gruß
sk
Hallo,
Ich behallte immer die VPN Einwahl (über IPsec) bei, in RZ steht dann (mit genug IP,s) ein Root Server der mit ESXi Veirtualisiert ist. Darauf laufen die Gateway Programme. Also einmal ein CSG (Presentation Server 4.0^^) und einmal ein Exchange Client Acces Server (CAS). Diese Lösung ist Kostengünstig und einfach.
LG, Herbrich
PS: Ich wollte nur einen kleinen Tipp geben wie ich es realisieren werde, den ich Arbeite gerade auch an diesen Project.
Ich behallte immer die VPN Einwahl (über IPsec) bei, in RZ steht dann (mit genug IP,s) ein Root Server der mit ESXi Veirtualisiert ist. Darauf laufen die Gateway Programme. Also einmal ein CSG (Presentation Server 4.0^^) und einmal ein Exchange Client Acces Server (CAS). Diese Lösung ist Kostengünstig und einfach.
LG, Herbrich
PS: Ich wollte nur einen kleinen Tipp geben wie ich es realisieren werde, den ich Arbeite gerade auch an diesen Project.