Citrix Secure Gateway 3.1.2を使ってXenAppを外から使ってみるテスト

ライセンスが安ければもっと普及するのにと思わずにはいられないMetaFrameを外から使ってみるテスト。まぁ、今度XenDesktopにライセンスが無料でくっついてくるらしいですが。
そんなわけで、XenApp用のリバースプロキシSecure Gateway 3.1.2をちょっとだけ触ってみたー。現在のところ、これが最新版のようです。Secure Gateway 3.1のアップデート的な感じですが、「SGJ3.1.2.zip」を落として叩けば新規インストールも可能。

目指すネットワーク的にはこんな感じになります。
SecureGateway_NetworkTree.jpg
外部からDNSでルーターまで来て、ルーターがIP変換でSGへパケット転送、そこからMPSだのCPSだのXenAppなどにアクセスします。今回は、こんな感じの最小構成。

ちなみに、SecureGatewayで443ポートを使いたいので、IIS側は変更させてます。
IIS10443.jpg
別にSecureGateway側を変更させてもいいんですが、イントラ内でSSL接続する必要性も感じないのでSecureGatewayへ譲る感じ。


インストールに入ります。
SecureGateway_Install_1.jpgSecureGateway_Install_2.jpgSecureGateway_Install_3.jpg
利用許諾書だの何だのでてますが、適当にNext。
Installation modeにて、SecureGatewayとSecureGatewayProxyが選べます。
Secure Gateway Proxyの方は、もっと大規模なネットワークでDMZが何枚もある時に、
インターネット⇔SecureGateway⇔SecureGatewayProxy⇔XenApp
という構成時に使うモノです。今回はDMZが1つなので、そのままSecureGatewayを選択。
SecureGateway_Install_4.jpgSecureGateway_Install_5.jpgSecureGateway_Install_6.jpg
SecureGateway_Install_7.jpgSecureGateway_Install_8.jpg
後はインストール先と、実行アカウントの設定。Accountは適当にLocalSystemでOKかと。
インストール完了後、初期設定しましょうぜと言ってくるので設定で。
SecureGateway_Install_9.jpg

SecureGateway_Configuration_01.jpgSecureGateway_Configuration_02.jpg
SecureGateway_Configuration_05.jpgSecureGateway_Configuration_06.jpg
設定を詳細か標準かで選べます。面倒なので標準のStandardで進める感じで。
SSL証明はこのあたりで作ったオレオレ証明を使っております。オレオレの場合、当然ですが事前に信頼するようにしておかないと上のようにエラーが出てインストールが進まないので注意。
SecureGateway_Configuration_07.jpgSecureGateway_Configuration_08.jpgSecureGateway_Configuration_09.jpg
信頼させるには、適当に該当サーバをSSLで開いて証明書の表示をさせ、証明書のインストールをさせればOKです。オレオレの場合、クライアント側もコレの必要が有るのが面倒。
SecureGateway_Configuration_10.jpgSecureGateway_Configuration_11.jpg
続いてポート設定と外部接続設定など。
ポートは最初にIISから譲ってもらった443でいきます。外部は制限無しで。
SecureGateway_Configuration_12.jpgSecureGateway_Configuration_13.jpgSecureGateway_Configuration_14.jpg
STAはXenAppやCPSのサーバを指定してあげます。
MetaFrameXPなどの場合は、別途立てているSTAサーバのアドレスを入れる必要あり。
SecureGateway_Configuration_15.jpgSecureGateway_Configuration_16.jpgSecureGateway_Configuration_17.jpg
あとはWebInterfaceの場所と警告の記録するレベルの設定です。
WebInterfaceは同じサーバに入っているのでInstalled on this computerを選択。
警告レベルは標準のWarningのみでいっかという感じで。


Secure Gatewayの設定が終わったら、Citrix Access Management Consoleで外向けの設定をしてあげます。
Citrix_Access_Management_Console_Secure_Gateway_1.jpgCitrix_Access_Management_Console_Secure_Gateway_2.jpgCitrix_Access_Management_Console_Secure_Gateway_3.jpg
WebInterfaceの設定より[セキュリティ保護されたクライアントアクセスの管理][セキュリティ保護されたクライアントアクセスの変更]を選択。
アクセス方法の指定が出てくるので[追加]ボタン。
クライアントルートの編集が出てくるので、ルーターの内向きのIPアドレスを入れてあげます。アクセス方法はゲートウェイ直接で。OKボタンを押して次へ。
Citrix_Access_Management_Console_Secure_Gateway_4.jpgCitrix_Access_Management_Console_Secure_Gateway_5.jpgCitrix_Access_Management_Console_Secure_Gateway_6.jpg
ゲートウェイ設定の指定で、外向きのアドレス(FWDN)とポートを入力。今回は「labo.type-y.com」と「443」ポートで設定してます。
Secure Ticket Authority (STA)サーバはXenAppのアドレスを入力すれば完成。
コレで内向きLANからのWIへのアクセスは直接XenAppにつなぎ、外からのSG経由の接続はそのままSGで接続するようになります。


これをでどんな所からでもセキュアにアプリ実行が出来るようになります。
たとえば、会社にいながらエロサイト見たいけどアクセスログが残るのはいやといった場合は、XenAppでInternet Explorerを公開しつつ、かつSecure Gatewayでアクセスしてあげれバレル事はまずありません。ICAの通信は暗号化されてるんで、分かってもSecure Gateway(Web Interface)までです。非常に無駄な使い方ですが(笑)

Secure Gatewayが落ちたらそこに繫がってた全てのセッションが切れちゃうのが欠点ですけどね。まぁ、この辺はどうしようもない所ですけれども。

Citrix XenApp™ Platinum Edition for Windows: The Official GuideCitrix XenApp™ Platinum Edition for Windows: The Official Guide

McGraw-Hill Osborne Media 2008-11-21
売り上げランキング : 41336

Amazonで詳しく見る
by G-Tools
| コメント(0) | トラックバック(2) |
■Yahoo!オークション おすすめ商品■
Web Services by Yahoo! JAPAN

トラックバック(2)

トラックバックURL: http://type-y.com/mt/mt-tb.cgi/1054

みなさんこんばんは。頑張って鯖管してますか?わたくしはブレードサーバーでWindowsServer2008R2の構築でつまずいてます。HPのOnboard... 続きを読む

みなさんこんばんは。頑張って鯖管してますか?わたくしはブレードサーバーでWindowsServer2008R2の構築でつまずいてます。HPのOnboard... 続きを読む

コメントする