J’aimerais comprendre comment la connexion est-elle établie entre les serveurs de publication d’applications basés sur PSE4.5 et des clients via le client ICA, sachant que pour des raisons de sécurité j’aimerais mettre en place deux boîtiers CAG pour le tunnel VPN SSL.
Ma question est la suivante:
Les clients sont-ils connectés physiquement sur la CAG ou sur les serveurs d’appli. PSE4.5 ?
Si ils sont connectés sur la CAG, comment fait-elle pour récupérer la liste des appli. à publier pour un client donné ?
Oui merci pour le schéma. Cependant, je ne comprends pas comment un serveur peut exécuter une application sans que l’utilisateur soit connecté sur ce serveur.
Oui merci pour le schéma. Cependant, je ne comprends pas comment un serveur peut exécuter une application sans que l'utilisateur soit connecté sur ce serveur.
Merci d'éclairer ma lanterne .
Bonjour
En fait le client effectue une connexion ICA de bout en bout (avec le serveur PS). L'ica est encapsulé dans du https entre le client et la CAG...
Merci mais si je comprends bien, l’utilisateur est connecté sur la CAG ET sur le serveur sur lequel la ou les applications qu’il exécute est(sont) lancée(s), c’est bien cela ?
Merci mais si je comprends bien, l'utilisateur est connecté sur la CAG ET sur le serveur sur lequel la ou les applications qu'il exécute est(sont) lancée(s), c'est bien cela ?
Merci
Une connexion SSL avec la CAG (443). Et la dedans (encapsulé), une connexion ICA vers le serveur Presentation Server
Votre Citrix Secure Gateway devient une passerelle entre votre ferme de serveur Citrix et vos utilisateurs se connectant sur des réseaux externes. Lorsque qu’un utilisateur se connecte via une Citrix Secure Gateway, il se connecte uniquement sur la Citrix Secure Gateway en SSL ou TLS sur le port 443 par défaut. Ce qui implique que seul votre Citrix Secure Gateway va se connecter à votre ferme de serveur Citrix via le port 1494 ou 2598 par défaut. L’utilisateur n’est donc jamais en direct sur votre ferme quand il est à l’extérieur de l’entreprise, contrairement à une architecture Citrix Relay SSL :
Par défaut et selon les envies il n’y a que la Citrix Secure Gateway dans la DMZ. L’image fourni dans la documentation est à titre d’exemple.
On va donc parler du cas le plus comnun;
Citrix Secure Gateway en DMZ
Web Interface + ferme de serveur Citrix dans le LAN
Le poste utilisateur ne communique qu’avec le port 443 par défaut à destination de la passerelle Citrix Secure Gateway. La Citrix Secure Gateway communique avec Web Interface via le port HTTP 80, avec Citrix Prestantion Server via le port ICA 1494 et 2598, avec le Secure Ticket Autority via le port XML. Web Interface communique avec Citrix Presentation Server via le port XML.
Pour utiliser Citrix Secure Gateway, il vous faut des certificats SSL
Est-il envisageable de mettre le CAG (dans sa DMZ) sur un site géographique donné et de mettre l’ensemble des fermes Citrix sur un autre site (dans un autre pays) ? A quel problème pouvons-nous être confrontés si ce n’est l’overhead réseau ?
Me vient une autre question:
- Est-il envisageable de mettre le CAG (dans sa DMZ) sur un site géographique donné et de mettre l'ensemble des fermes Citrix sur un autre site (dans un autre pays) ? A quel problème pouvons-nous être confrontés si ce n'est l'overhead réseau ?
Merci encore
je ne vois pas l'interêt de mettre la CAG sur un site et les batteries de serveurs sur des sites différents (puisque toutes les batteries se trouve sur le même)...
Par contre, j'ai beau relire, je ne comprends pas comment tu veux utiliser ta CAG: en mode VPN (en montant un VPN entre le client et la CAG: pour faire de l'ICA et d'autres protocoles vers des réseaux autorisés) ou en "mode CSG", c'est à dire, en gros, en utilisant la CAG comme Reverse proxy pour la Web interface et les connexions ICA?
Le but est de monter un VPN SSL entre la CAG et les clients sur de l'ICA.
Quant à l'intérêt de mettre l'ensemble des serveurs PS4.5 sur un autre site, il est lié au pb d'hébergement de l'ensemble (place dispo., prix, ...).
Alors le lien de Frédéric (vers une article de Pierre Jacques Gustave (www.tescitrixoupas.net)) correspond à ce que tu veux faire (si ce n'est qu'il concerne Citrix Secure Gateway: la version logicielle. Citrix Access Gateway fait la même chose sous forme d'appliance). La mise en oeuvre différe un peu, mais les concepts sont les mêmes...
Pour ton emplacement, tu ne peux pas placer ta CAG sur le même site? ça doit fonctionner (tant que le XML, l'ICA, le DNS savent où aller), mais ça me parait curieux...