Hello,
Je viens pour challenger un peu mes propositions concernant le besoin suivant d’un de mes clients.
Lorsque l’utilisateur est dans le LAN, il ouvre un desktop publié et dans ce desktop publié un pnagent est installé. Depuis ce pnagent il lance un certain nombre d’application.
Le besoin est que lorsque l’utilisateur est à l’exterieur (internet par exemple), il ouvre un tunnel VPN ssl jusqu’a la société est fait la même chose. Les nouvelles contraintes de sécurité, demandent de limiter l’accès qu’a certaine application, c’est à dire accès au même desktop mais ne pas avoir la possibilité de lancer toutes les applications.
Voilà à quoi je pense :
Créer une DMZ. dans cette DMZ installer 2 serveurs xenapp qui feront office de desktop publié. Ensuite installer un pnagent dans ces desktop qui pointera sur un site pnagent dédié avec l’outil de thomas koetzig qui masque certaine application.
Le but est également de dégager l’appliance vpn SSL, soit avec une secure gateway soit avec une access gateway. L’utilisation de l’access gateway permettrait t’elle de repondre mieux au besoin ?
Merci pour vos remarques
Gars toff
Je n’ai jamais été trop pour installer des serveurs XenApp en DMZ.
Le nombre de ports à ouvrir est tellement important que point de vue sécurité, c’est pire que mieux.
Concernant la partie PnAgent, dédier un site qui filtre les applis, semble la bonne solution.
Ensuite pour définir si tu viens de l’externe ou de l’interne, tu peux publier un bureau externe qui a le même diisplay name que le bureau interne et le filtrer avec les mods hide apps ou hide folder.
Un outil de gestion d’environnement ou un script de connexion te change la clé de registre qui pointe sur l’url Pnagent en fonction du nom du bureau publiée ou même de l’ip cliente.
Après quid d’une SG ou d’une AGE par rapport à une solution de VPN ssl tièrce ?
La gestion du proxy ICA est native avec la SG ou l’AGE et ne nécessite pas le déploiement d’un client VPN supplémentaire.
Support citrix sur toute la chaine de connexion.