Управление несколькими сайтами с помощью Citrix Web Interface 4.5
Введение
Компания Citrix внесла многочисленные изменения в последние несколько версий Web Interface, включая текущую версию; Веб-интерфейс 4.5. В этой статье мы рассмотрим некоторые из этих функций, которые обеспечивают возможность развертывания и управления несколькими «сайтами платформы доступа» веб-интерфейса, что является новым названием для того, что обычно называют просто сайтами веб-интерфейса. Мы рассмотрим создание нескольких сайтов платформы доступа, используя некоторые из текущих возможностей, и рассмотрим базовую архитектуру, созданную в процессе. Понимание того, как на самом деле работают эти новые функции и как вы можете воспользоваться этими возможностями, должно расширить ваши возможности по управлению и оптимизации вашей среды Citrix, обеспечивая при этом безопасный доступ к вашим приложениям и данным.
Подготовка информационных служб Интернета (IIS)
Первыми шагами будет создание двух веб-сайтов в дополнение к веб-сайту по умолчанию. Откройте MMC Internet Information Services Manager и перейдите в папку «Веб-сайты». Щелкните правой кнопкой мыши «Веб-сайты» и выберите «Создать», затем «Веб-сайт». При появлении запроса введите описание создаваемого веб-сайта. Первый веб-сайт будет называться «Удаленные пользователи» и будет настроен для пользователей, получающих доступ к приложениям Presentation Server из-за пределов корпоративной сети. Используя отдельный веб-сайт для подключения всех удаленных пользователей, мы можем добиться нескольких целей, включая защиту всего трафика на сайт с помощью SSL, требование двухфакторной аутентификации (RSA Authentication Manager или Safeword), настройку веб-страниц, отображаемых для пользователей, и фильтрацию. определенные приложения, которые вы, возможно, не захотите предоставлять пользователям, не подключенным к корпоративной сети.
Примечание:
Вместо защиты сервера веб-интерфейса и веб-сайта вы можете завершить соединение SSL на устройстве Citrix Access Gateway (CAG), сервере Citrix Secure Gateway (CSG) или VPN-туннеле какого-либо типа.
Продолжая настройку веб-сайта «Удаленные пользователи», выберите использование заголовка хоста «Удаленные» или присвойте этому сайту определенный IP-адрес, если это необходимо. В этом примере мы воспользуемся передовой практикой развертывания Citrix CAG в демилитаризованной зоне, поэтому мы будем использовать порт 80 по умолчанию и не будем защищать этот веб-сайт с помощью SSL. Путь к домашнему каталогу должен быть «InetpubwwwrootInternal Users» и «InetpubwwwrootRemote Users» соответственно для двух веб-сайтов, которые мы создадим. Примите разрешения на доступ к веб-сайту по умолчанию и завершите работу мастера.
Далее мы настроим второй веб-сайт с именем «Внутренние пользователи», используя ту же процедуру, что и веб-сайт «Удаленные пользователи». В этом примере мы используем заголовки узлов «Internal.MyDomain.com» и «External.MyDomain.com». После создания веб-сайтов мы готовы установить веб-интерфейс. В этой статье не будут содержаться инструкции по установке веб-интерфейса, а будет продолжено создание «сайтов платформы доступа». На рис. 1 ниже показаны три веб-сайта и сведения об их базовой конфигурации.
фигура 1
Создайте сайт платформы доступа «Удаленные пользователи»
Начните создавать сайт платформы доступа «Удаленные пользователи», запустив консоль управления доступом версии 4.5. Перейдите к узлу «Веб-интерфейс» и нажмите «Создать сайт» в разделе «Общие задачи». Выберите «Access Platform Site», как показано на рисунке 2 ниже:
фигура 2
На следующем экране показано одно из улучшений WI 4.5; возможность установить этот конкретный сайт платформы доступа на веб-сайте, отличном от веб-сайта по умолчанию. Мы будем использовать эту функцию, выбрав путь удаленных пользователей, как показано на рисунке 3 ниже. Поскольку этот веб-сайт использует HTTP, мы можем принять значение по умолчанию для «URL-адреса для применения изменений».
Рисунок 3
Затем выберите «Локальный файл», чтобы сохранить конфигурацию для этого конкретного сайта платформы доступа в файле WebInterface.conf, хранящемся локально на сервере веб-интерфейса. Обратите внимание на другое изменение по сравнению с более ранними версиями веб-интерфейса; существует возможность централизованного хранения конфигурации WI на Presentation Server или Citrix Streaming Server. Это шаг вперед по сравнению с предыдущим методом простого указания на общий ресурс и сохранения файла WebInterface.conf в этом конкретном файловом ресурсе. В WI 4.5 служба XML используется для хранения и извлечения конфигурации WI, если выбран этот параметр.
Рисунок 4
Следующие шаги состоят из указания имени (имен) фермы, имен серверов представления в соответствующих фермах, а также порта и типа транспорта для XML-трафика между сервером WI и сервером (серверами) представления.
Рисунок 5
Этот следующий экран может быть новым для многих из нас; это дополнительные варианты поддержки Citrix Application Streaming, которые еще не были выпущены на момент написания этой статьи. Выберите «Удаленный», чтобы настроить этот сайт платформы доступа для предоставления доступа только к приложениям Presentation Server, как показано на рис. 6.
Рисунок 6
Следующий представленный экран предоставляет выбор еще двух функций; возможность для пользователей добавлять в закладки определенные опубликованные приложения и использовать эти закладки для запуска этих конкретных опубликованных приложений в будущем. Второй переключатель позволяет перенаправить функции безопасности и аутентификации на сервер Citrix Advanced Access Control. Выберите настройку автономного сайта платформы доступа и разрешите пользователям запускать приложения из закладок, если это необходимо.
Рисунок 7
Завершите настройку сайта платформы доступа «Удаленные пользователи», настроив для RSA SecureID (теперь называемого «Диспетчер аутентификации» ) двухфакторную аутентификацию или Safeword, как показано на рис. 8 ниже:
Рисунок 8
Создайте сайт платформы доступа «Внутренние пользователи»
Выполните те же шаги, чтобы создать сайт платформы доступа для внутренних пользователей, за следующими исключениями:
- Выберите путь внутренних пользователей для веб-сайта.
- Не настраивать двухфакторную аутентификацию
Также рекомендуется переименовать сайты в консоли управления доступом, чтобы отразить их назначение, в отличие от имени по умолчанию, которое является фактическим путем к определенному сайту платформы Access. На рисунках 9 и 10 показаны принятые по умолчанию соглашения об именах и конкретные сайты после того, как они были переименованы во «Внутренние пользователи» и «Удаленные пользователи».
Рисунок 9
Рисунок 10
Давайте заглянем под капот
Давайте взглянем на конфигурацию IIS и файловой системы и проанализируем, что было сделано. На первом рисунке из AMC показаны два созданных сайта платформы доступа, а «Тип» указан как платформа доступа. Помните, что у нас также могут быть сайты Program Neighborhood Agent и/или Conference Manager Guest Attendee Sites на этом сервере Web Interface. Когда вы просматриваете столбец URL-адресов, вы можете сразу различить , что эти два сайта платформы доступа находятся на разных веб-сайтах.
Рисунок 11
Рисунки 12 и 13 ниже дают представление о файловой системе и созданной структуре каталогов. Обратите внимание на два подкаталога, созданных в каталоге Inetpubwwwroot; «Внутренние пользователи» и «Удаленные пользователи». Создается впечатление, что каждый из двух сайтов платформы доступа содержит совершенно отдельную файловую структуру и полностью независим от другого сайта. В основном это так, но есть одно исключение, как показано на рис. 13; Citrix использует веб-движок Tomcat, который отображается как «jakarta», и он используется всеми сайтами платформы Access. Однако вся конфигурация сайта, включая файл WebInterface.conf, файлы шаблонов ICA и код, выполняющий 99 % функций веб-интерфейса, действительно изолирована и уникальна для конкретного сайта платформы доступа.
Рисунок 12
Рисунок 13
Беглый взгляд на расширения веб-службы на рис. 14 позволяет нам понять, что в дополнение к требованию ASP.NET Citrix также добавляет несколько интерфейсов прикладного программирования интернет-служб или расширений ISAPI для «ConfigProxy», «STA» и два «XML». Расширения ISAPI. Также обратите внимание на «Tomcat Servlet Engine», который представляет собой компонент «jakarta», показанный на рис. 13 выше.
Рисунок 14
Расположение важных файлов веб-интерфейса
Есть несколько файлов, которые предоставляют возможность конфигурировать и настраивать веб-интерфейс помимо возможностей, предоставляемых в AMC. Файл WebInterface.conf содержит большую часть конфигурации и находится в папке «InetpubwwwrootInternal UsersCitrixAccessPlatformconf». В этом же каталоге расположены четыре отдельных файла шаблона ICA. Эти файлы шаблонов образуют фактический файл Launch.ICA, который загружается пользователю и предоставляет сведения для подключения к нужному приложению или рабочему столу. Хотя AMC предоставляет возможность в некоторой степени настраивать внешний вид веб-страниц, отображаемых для пользователя, многие администраторы желают выполнить более глубокую настройку. Многие из этих «нестандартных» настроек выполняются путем редактирования одного или нескольких «включаемых» файлов; то есть файлы в папке «InetpubwwwrootInternal UsersCitrixAccessPlatformapp_datainclude» с расширением.inc. И наконец, что не менее важно, это расположение файлов клиента ICA, если они есть; «InetpubwwwrootInternal UsersCitrixAccessPlatformClients».
Вывод
Компания Citrix добилась больших успехов в предоставлении очень богатого набора функций веб-интерфейса, возможности создания нескольких сайтов платформы доступа и управления ими на одном веб-сервере, а также значительно улучшила управляемость с помощью новой консоли управления доступом. Одной из лучших вещей в Web Interface по-прежнему остается цена; она по-прежнему бесплатна для клиентов, владеющих Presentation Server. Веб-интерфейс по-прежнему используется значительным процентом администраторов Presentation Server, и более глубокое понимание базовых компонентов должно позволить администраторам Citrix развертывать и управлять более стабильной, безопасной и эффективной средой веб-интерфейса.