独習シリーズ⑦ | Access Gateway Enterprise Edition

Access Gateway Enterprise Edition Step-by-Step 構築＆操作ガイド

Page 2

ご注意 この資料は、お客様・パートナー様の動作検証や技術習得を支援するために作成されたものです。本資料は弊社の正式な技術サポート⽂書ではありません。そのため、この文書の記述に関して、弊社技術部門はお問い合わせをお受けかねますことを、予めご了承ください。

本書に記載されている事柄は予告なく変更される場合があります。

操作や機能の詳細につきましては、製品マニュアルをご覧下さい。 http://support.citrix.com/proddocs/topic/infocenter/nl/ja/ic-how-to-use.html?locale=ja

バージョン履歴 バージョン 作成/更新⽇ 更新内容 作成者

1.0 2013/6/21 新規 Akari Kato

Page 3

目次

ご注意 ........................................................................................................................................ 2

バージョン履歴 ........................................................................................................................ 2

はじめに .................................................................................................................................... 4

このハンズオンのゴール ......................................................................................................... 4

本ハンズオン環境に必要なコンポーネント .......................................................................... 5

XenDesktopおよび AGEEのモジュールおよび用語について ............................................ 6

使用するマシン および ネットワーク環境について ............................................................. 7

インストール手順 .................................................................................................................... 9

NetScaler VPX のインポートと初期設定.................................................................................................. 9 1

サーバー証明書とポリシーの設定 ....................................................................................................... 13 2

Session Policy と Authentication Policy の設定 ....................................................................................... 15 3

Virtual Server の設定 ................................................................................................................................ 20 4

WebInterface の設定 ................................................................................................................................ 22 5

接続確認 ................................................................................................................................................... 28 6

Page 4

はじめに この資料では、「Citrix XenServer 6.1 Step-by-Step ガイド」で作成した XenServer 上に、デスクトップ仮想化ソリューション『Citrix XenDesktop 5.6Step-by-Step 構築＆操作ガイド[Basic]』を使用した仮想デスクトップ環境をセットアップしたのち、この Step-by-Stepガイドを完了することで、Access Gateway

Enterprise Edition（AGEE）を利⽤しどこからでも簡単かつ安全に、仮想デスクトップや仮想アプリケーションに SSL VPN でアクセスするための環境を体感することができます。

このハンズオンのゴール

・ 予め用意してある XenDesktop 環境に AGEEを利⽤してアクセスできる環境を作ることがゴールです。 ・ NetScaler VPX をセットアップします。 ・ vServer を作成し、AGEE 機能を設定します。 ・ 既存の XenDesktop 内の Web Interface と連携させ、仮想デスクトップを起動します。

管理端末(XenCenter)

XenServer6.1

仮想マシン

Windows7 XenDesktop AD NetScalerVPX

Page 5

本ハンズオン環境に必要なコンポーネント ・『XenServer Step-by-Step ガイド』で使用した PC サーバー: 1 台 (スペックは XenServer ガイドに準拠) ・XenCenterがインストールされた管理⽤ PC: 1 台 ・上記を接続するネットワーク環境 ・(推奨)インターネット接続回線 ・NetSaler VPX 仮想アプライアンス 「Citrix XenServer」、「Citrix XenDesktop」と同じ Download サイトから入手可能です。

※評価用ライセンス、および仮想アプライアンスはシトリックスのネットワークパートナーから事前に入手してください。 ・シトリックスのパートナーを選ぶ http://www.citrix.co.jp/partners/csn/network_partner.html

Page 6

XenDesktop および AGEE のモジュールおよび用語について ・このガイドにおける各コンポーネントの関係図 (物理マシンはクライアント端末と XenServer の 2 台)

デスクトップコントローラー ・ユーザー認証、仮想デスクトップの配信制御、Hypervisor の制御

SQL データベース ・XenDesktop 環境の構成や設定情報といった静的な情報を保持するデータベース

Web Interface ・仮想デスクトップ接続時のユーザー認証インターフェイスを提供 ライセンスサーバー ・Citrix製品のライセンス管理、デスクトップコントローラーの依頼でライセンス発⾏

Virtual Desktop Agent ・Windows クライアント OS にインストールし、仮想デスクトップとして 使用するためのサービスコンポーネント

Citrix Receiver ・クライアントソフトウェア ドメインコントローラー ・Active Directory のアカウント情報を使用して XenDesktop の利⽤権限を ユーザーに割り当てる Citrix Access Gateway Enterprise Edition（VPX） ・外部からセキュアにアクセスするための仮想アプライアンス

Page 7

使用するマシン および ネットワーク環境について このハンズオンでは以下のマシンおよびネットワーク環境を使用します。 ① XenServer (ホスト名: xs01) ・ 用途：各コンポーネントを動作させる基盤となるハイパーバイザー ・ IP アドレス：____________________（例：192.168.10.101） ・ OS：Citrix XenServer 6.1 ・ ドメイン名：____________________（例：training.lab） ・ 管理者アカウント: root パスワード: ____________________（例：Citrix123） ② 管理端末兼クライアント端末 (ホスト名: Win7AdminPC) ・ 用途：Citrix XenCenterを使⽤する管理端末兼 XenDesktop へアクセスするクライアント端末 ・ IP アドレス：____________________（例：192.168.10.100） ・ OS：Windows 7 など ③ ドメインコントローラー (ホスト名: AD) ・ 用途：ActiveDirectory サービスの提供および DNS サーバー ・ IP アドレス：____________________（例：192.168.10.11） ・ OS：Windows Server 2008 R2 SP1 ・ 管理者アカウント: administrator パスワード: ___________________（例：Citrix123） ④ デスクトップコントローラー (ホスト名: XD1) ・ 用途：Desktop Controller、Web Interface、データベース、Citrix ライセンスサーバー ・ IP アドレス：____________________（例：192.168.10.30） ・ OS：Windows Server 2008 R2 SP1 ⑤ 仮想デスクトップマシン (ホスト名: Win7VM) 用途：ユーザー割当て型仮想デスクトップのホストマシン IP アドレス：____________________（例：192.168.10.90） OS：Windows 7 Professional SP1

Page 8

⑥ NSIP 用途：NetScaler⾃体に対する管理アクセスや⼀般的なシステムアクセス、および HA通信用の IPアドレスです。 IP アドレス：____________________（例：192.168.10.151） ⑦ SNIP 用途：NetScalerが複数のサブネットに接続されている場合、これらのサブネットへのアクセスを提供するMIPとして、SNIPを使用するように設定できます。 IP アドレス：____________________（例：192.168.10.152） ⑧ VIP(vServer) 用途：Access Gateway Enterprise Editionで利⽤する IP です。 IP アドレス：____________________（例：192.168.10.153） ⑨ その他のネットワーク環境 ・ デフォルトゲートウェイ：____________________（例：192.168.10.254） ・ DNS サーバー：____________________（例：192.168.10.11） ・ DHCP サーバー：なし

Page 9

インストール手順

NetScaler VPX のインポートと初期設定 1

XenServer 上に NetScaler VPXをインポートし初期設定を⾏います。 画面 手順 1

XenCenter 上で XenServer を右クリックし、[インポート]を選択します。 2

[参照]をクリックします。

3

予めダウロードした仮想アプライアンスを選択し[開く]をクリックします。

4

[次へ]をクリックします。

Page 10

画面 手順 5

既存の XenServerを利⽤しますのでそのまま[次へ]をクリックします。

6

ローカルストレージが表示されますので、そのまま[インポート]をクリックします。

7

ネットワークが選択されていることを確認し、そのまま[次へ]をクリックします。

8

[完了]をクリックします。

Page 11

画面 手順 9

インポートしたアプライアンスがブートしたら、画面に従って IPアドレス情報を⼊⼒し、Enter を押します。ここでは、

NetScaler’s IPv4 address : 192.168.10.151

Netmask : 255.255.255.0

Gateway IPv4 address : 192.168.10.254 とします。 10

⼊⼒した IP アドレスが正しいことを確認し、４を⼊⼒後に Enter を押します。

11

http://<NetScaler の IP アドレス>/にアクセス可能な管理端末からアクセスし、NetScalerの管理コンソールを開きます。 ユーザー名、パスワードともに「nsroot」と⼊⼒します。

12

[System]-[Settings]より[Configure basic features]をクリックします。

Page 12

画面 手順 13

SSL Offloading と Access Gateway にチェックを入れ[OK]をクリックします。

14

次にネットワークインターフェイスの設定を⾏います。[Network]-[IPs]を開き、[Add]をクリックします。

15

IP アドレス（ここで 192.168.10.152 とします）を⼊⼒し、サブネット（ここでは 255.255.255.0 とします）を⼊⼒し、Type が Subnet IP になっていることを確認して[Create]をクリックします。

Page 13

画面 手順 16

同様に、IP アドレス（ここで 192.168.10.153 とします）を⼊⼒し、サブネット（ここでは255.255.255.0とします）を⼊⼒し、Type がVirtual IP になっていることを確認して[Create]をクリックします。作成がおわったら[Close]をクリックして画面を閉じます。

サーバー証明書とポリシーの設定 2

SSL通信に必要となるサーバー証明書とポリシーを設定します。今回はテスト⽤の⾃⼰証明書を利⽤します。（本番環境では公的証明書を利⽤するか、社内の証明機関を利⽤するなど、証明書の選択は慎重に検討する必要があります） 画面 手順 1 テスト用の証明書を作成し、作成後にルート証明書をクライアント PC にダウンロードして SSL通信が可能な状態にします。

[SSL]より、[Create and Install a Server Test

Certificate]をクリックします。 2 Certificate File Name に ・証明書のファイル名を⼊⼒し（ここではtest_certificate とします） ・その下 FQDN名を⼊⼒し（ここではagee.citrix.local とします） ・Country に[Japan]を選択し、[OK]をクリックし

Page 14

画面 手順 ます。 3 再度[SSL]に戻り、[Manage Certificates / Keys /

CSRs]をクリックします。

4 先ほど２で作成したルート証明書を選択し、[Download]をクリックします。

5

デスクトップなど任意の場所を選択し、[Download]をクリックします。ダウンロードが終わったら[Close]を選択してすべてのウィンドウを閉じます。

★ 今後のステップのために下記の 2 点を予め準備します 1. ダウンロードしたルート証明書を今後のステップのために接続元のクライアント PC にインストールしておきます。 2. AD 上の DNS サービスで agee.citrix.local（192.168.10.153）の A レコードを追加します。

Page 15

Session Policy と Authentication Policy の設定 3事前に Session Policy と Authentication Policyの設定を⾏います。 画面 手順 1

はじめに Profile を作成します。

[Access Gateway]-[Policy]-[Session]より[Profile]タブを選択し[Add]をクリックします。

2

[Client Experience]タブで[Single Sign-on to web

Applications]にチェックを入れ[Create]をクリックします。

Page 16

画面 手順 3

[Security]タブで認証についての全ユーザ許可を⾏ため[ALLOW]を選択します。

4

Name : 任意の名前（ここでは ICA_Profile としています）

ICA Proxy : ON

Web Interface Address : Web Interface のアドレスを⼊⼒します。（ここではhttp://XD1/Citrix/DesktopWeb/としています）

Single Sign-on Domain : AD のドメイン名（ここでは Training.labとしています）を⼊⼒し、[Create]をクリックします。 プロファイルを作成することができたら[Close]でウィンドウを閉じます。

Page 17

画面 手順 5

[Access Gateway]-[Policy]-[Session]より[Policies]タブを選択し[Add]をクリックします。

6

Name : 任意のポリシー名を⼊⼒（ここではICA_Policy としています）

Request Profile : 4 で作成したプロファイル（ここでは ICA_Profile）

Named Expressions で General－True value を選択し、[Add Expression]をクリックし ne_true が設定されていることを確認します。その後、[Create]をクリックします。 作成することができたら[Close]でウィンドウを閉じます。

Page 18

画面 手順 7

次に認証の設定を⾏います。

[Authentication]-[LDAP]を選択し、[Servers]タブを選択、[Add]ボタンを押します。

8

Sever : 任意のサーバー名（ここでは AD としています）

IP アドレス：ドメインコントローラーの IP アドレス（ここでは 192.168.10.11 としています）

Type : AD を⼊⼒し、その下には AD の Administrator情報を⼊⼒し、[Create]をクリックします。 作成されたら[Close]をクリックしてウィンドウを閉じます。

Page 19

画面 手順 9

次に認証のポリシー設定を⾏います。

[Authentication]-[LDAP]を選択し、[Policy]タブを選択、[Add]ボタンを押します。

10

Name : 任意のポリシー名（ここでは AD_Policy としています）

Server : 先ほど設定したサーバー（ここでは AD）

Expression : General-True value にし[Add

Expression]をクリックし ns_true が設定されていることを確認します。 その後[Create]をクリックし、作成されたら[Close]を押してウィンドウを閉じます。

Page 20

Virtual Server の設定 4

ICA通信をプロキシする Virtual Serverの設定を⾏います。 画面 手順 1

[Virtual Servers]をクリックし、[Add]をクリックします。

2

Name : 任意の名前（ここでは ICA としています）

IP アドレス：（ここでは 192.68.10.153 としています）を⼊⼒します。 認証のモードで[Basic Mode]を選択します。 その下のボックスにて上記大項目２で作成した証明書を選択して[Add]をクリックします。 3

[Authentication]タブを開き、[Insert Policy]をクリックし上記大項目の３で設定したポリシーを割り当てます。

Page 21

画面 手順 4

[Policies]タブを開き、[Insert Policy]をクリックし上記大項目の３で設定したポリシーを割り当てます。

5

[Published Applications]タブを開き下の[Add]をクリックします。XenDesktop のサーバーの STA を⼊⼒します。（http://STA サーバーIP アドレス/Scripts/ctxsta.dll）ここでは、http://192.168.1.30/Scripts/ctxsta.dll とします。入⼒が終わったら[Create]をクリックし、[OK]をクリックして画面を閉じます。

Page 22

WebInterface の設定 5デスクトップコントローラーがインストールされているマシンにログインし、管理コンソールからAccess Gateway からアクセスするための Web Interface サイトを設定します。

画面 手順 1

Desktop Studio を開き、[Web Interface]を展開します。 既存で作成されている Internal site を右クリックし[サイトメンテナンス]→[サイトのアンインストール]を選択し、サイトを⼀度削除します。 2

[XenApp Web サイト]を右クリックし[サイトの作成]をクリックします。

3

パスに/Citrix/DesktopWebと⼊⼒し、[次へ]をクリックします。

Page 23

画面 手順 4 ユーザー認証を実⾏する場所の指定で Access Gateway を選択し[次へ]をクリックします。

5

認証サービスのURLを下記のように⼊⼒し[次へ]をクリックします。 https://agee.citrix.local/CitrixAuthService/Auth

Service.asmx 6

[次へ]をクリックします。

Page 24

画面 手順 7

[追加]をクリックし、サーバー名に localhost と⼊⼒します。⼊⼒が終わったら、[OK]をクリックします。

8

[次へ]をクリックします。

9

[次へ]をクリックします。

Page 25

画面 手順 10

そのままオンラインが選択されていることを確認し[次へ]をクリックします。

]

11

[完了]をクリックします。

12

[XenApp Web サイト]から作成したサイトを右クリックし[セキュアなアクセス]を選択します。

Page 26

画面 手順 13

[編集]をクリックします。

14

アクセス方法で[ゲートウェイ直接]を選択し、[OK]をクリックします。 15

[次へ]をクリックします。

16

AGEE の FQDNを⼊⼒します。ここではagee.citrix.local とします。[次へ]をクリックします。

Page 27

画面 手順 17

[追加]をクリックし、STA（http(s)://<ip address of

XenDesktop>/scripts/ctxsta.dll ）を⼊⼒します。ここでは、http://192.168.10.30/scripts/ctxsta.dll とします。 ⼊⼒が終わったら[OK]をクリックします。

18

[完了]をクリックします。

Page 28

接続確認 6設定が終わった AGEE を介して、接続確認を⾏います。

画面 手順 1

管理端末のブラウザを開きhttps://agee.citrix.local にアクセスします。ここでアクセスができない場合は DNS の A レコードが登録されているか、または証明書が管理端末にインストールされているか(2章の 5を参照)をご確認ください。

2

仮想デスクトップのアイコンをクリックします。

3

仮想デスクトップに接続できることを確認します。

以上で Access Gateway Enterprise Edition Step-by-Step 構築＆操作ガイドは終了です。