Documentation produit
Storage zones controller
5.x 4.x
Voir PDF

Configurer Citrix ADC pour StorageZones Controller

October 23, 2024
Contributeur: 
C C

NetScaler, version 10.1 build 120.1316.e et ultérieure, inclut un assistant qui vous demande des informations de base sur votre environnement de contrôleur de zones de stockage. Ensuite, il génère une configuration qui :

  • Équilibre la charge du trafic entre les contrôleurs de zones de stockage
  • Fournit l’authentification des utilisateurs pour les connecteurs de zone de stockage
  • Valide les signatures URI pour les téléchargements et les chargements ShareFile
  • Met fin aux connexions SSL sur l’appliance Citrix ADC

Le diagramme montre ces composants Citrix ADC créés par la configuration :

  • Serveur virtuel de commutation de contenu Citrix ADC — Envoie les demandes utilisateur pour les données de ShareFile et des connecteurs de zone de stockage au serveur virtuel d’équilibrage de charge Citrix ADC approprié.
  • Serveur virtuel d’équilibrage de charge Citrix ADC — Équilibre la charge du trafic pour vos contrôleurs de zones de stockage et gère également les éléments suivants :

    • Pour les demandes de données provenant de votre stockage de données privé, un serveur virtuel d’équilibrage de charge effectue une validation de hachage, afin de garantir que des signatures URI valides sont présentes sur les demandes entrantes.

    • Pour les demandes de données provenant de connecteurs de zone de stockage, un serveur virtuel d’équilibrage de charge peut effectuer l’authentification de l’utilisateur. Il arrête une demande d’utilisateur au niveau de Citrix ADC, authentifie l’utilisateur, puis effectue une connexion unique de l’utilisateur au contrôleur de zones de stockage.

    Remarque :

    L’authentification aux connecteurs de zone de stockage via Citrix ADC est facultative. En raison d’un problème connu, si l’authentification est activée dans Citrix ADC, les connecteurs de zone de stockage dans WebApp ne fonctionnent pas dans les navigateurs Chrome, Chromium, Safari et Edge. Il est compatible avec d’autres navigateurs et clients de bureau/mobiles.

À partir du contrôleur de zones de stockage 4.0, les administrateurs peuvent limiter les connexions entrantes aux contrôleurs de zones de stockage à TLS v1.2. Si les protocoles antérieurs à TLS v1.2 sont désactivés pour le trafic entrant vers le contrôleur de zone de stockage, tous les composants logiciels clients qui interagissent avec la zone de stockage doivent également prendre en charge TLS v1.2. Cliquez ici pour obtenir des informations supplémentaires et des instructions de configuration.

Remarque :

Pour configurer les versions de NetScaler antérieures à 10.1 build 120.1316.e, consultez Configurer Citrix ADC manuellement.

L’assistant d’installation de Citrix ADC pour ShareFile ne gère pas la configuration requise pour utiliser Citrix Endpoint Management comme fournisseur d’identité SAML pour ShareFile. Pour plus d’informations, cliquez ici.

Prérequis

  • Une configuration Citrix ADC fonctionnelle
  • Certificat de sécurité : s’il n’en existe pas déjà un dans Citrix ADC, l’assistant vous permet d’en installer un sur le serveur virtuel de commutation de contenu.
  • Informations sur votre configuration Active Directory (L’assistant Citrix ADC pour ShareFile doit être complété avec la licence Citrix NetScaler Enterprise Edition) :
    • Adresse IP et port de votre serveur Active Directory
    • Nom de domaine Active Directory
    • DN de base LDAP où sont stockés les utilisateurs
    • Nom de compte et mot de passe pour un compte administrateur disposant des autorisations nécessaires pour communiquer avec Active Directory

Configurer Citrix ADC pour les contrôleurs de zones de stockage

Les étapes suivantes décrivent comment utiliser l’assistant Citrix ADC pour ShareFile.

  1. Connectez-vous à l’appliance Citrix ADC et, dans l’onglet Configuration, accédez à Gestion du trafic.

  2. Sous ShareFile, cliquez sur Configurer Citrix ADC pour ShareFile.

    Vous pouvez également accéder à l’assistant comme suit : Sous Mobilité, cliquez sur Configurer Endpoint Management, ShareFile et Citrix Gateway.

  3. Fournissez les informations demandées dans l’assistant.

Option Description
Nom Un nom d’affichage pour le serveur virtuel de commutation de contenu.
Adresse IP L’adresse IP externe (publique ou DMZ) à utiliser pour le serveur virtuel de commutation de contenu. Si vous utilisez une adresse IP DMZ, vous devez définir un mappage de traduction d’adresses réseau (NAT) de votre adresse de pare-feu externe vers cette adresse IP DMZ.
Données ShareFile Cette option est activée, indiquant que vous utiliserez la connexion Citrix ADC pour les zones de stockage des données ShareFile.
connecteurs de zone de stockage pour le partage de fichiers réseau/SharePoint Si vous utilisez des connecteurs et que vous souhaitez effectuer l’authentification des utilisateurs sur Citrix ADC, cochez la case.
Certificat Choisissez un certificat ou installez-en un pour le serveur virtuel de commutation de contenu. Si vous choisissez d’installer un certificat, vous êtes invité à télécharger le certificat et la clé privée. Pour les zones standard, les certificats doivent être publiquement approuvés et non auto-signés.
Adresse IP du contrôleur de zones de stockage Les adresses IP internes d’un ou plusieurs serveurs contrôleurs de zones de stockage. Ces adresses IP définissent les serveurs du contrôleur de zones de stockage en tant qu’entités dans Citrix ADC. Si vous avez déjà ajouté les serveurs à Citrix ADC, cliquez sur Ajouter à partir de l’existant et sélectionnez les serveurs. Pour utiliser Citrix ADC pour l’équilibrage de charge, entrez une adresse IP interne pour chaque serveur de contrôleur de zones de stockage. Pour utiliser Citrix ADC uniquement pour SSL et l’authentification, entrez une seule adresse IP.
Port et protocole Le port et le protocole utilisés pour la communication entre Citrix ADC et les contrôleurs de zones de stockage.
Adresse IP du serveur virtuel d’authentification, d’autorisation et d’audit (Citrix ADC AAA) Une adresse IP interne inutilisée pour le serveur virtuel Citrix ADC AAA. Citrix ADC crée ce serveur virtuel pour son propre usage. Le serveur ne nécessite pas d’accès extérieur.
Adresse IP et port du serveur LDAP L’adresse IP et le port de votre serveur Active Directory. Si vous avez déjà ajouté un serveur LDAP à Citrix ADC, cliquez sur l’onglet Choisir LDAP et choisissez le serveur.
Temps mort Nombre maximal de secondes pendant lesquelles Citrix ADC attend une réponse du serveur LDAP. La valeur par défaut est de 3 secondes. La valeur minimale est de 1 seconde.
Domaine à authentification unique Le nom de domaine Active Directory.
Base DN (localisation des utilisateurs) Le nom distinctif (DN) de base LDAP où les utilisateurs sont stockés. Spécifiez le DN en utilisant la forme générale : CN=Users,dc=domain, dc=Net
DN et mot de passe de liaison administrateur Un compte administrateur disposant des autorisations nécessaires pour communiquer avec Active Directory.
Nom de connexion Un attribut LDAP, utilisé par Citrix ADC pour déterminer si les utilisateurs se connectent avec leur nom d’utilisateur ou leur adresse e-mail. La valeur par défaut est sAMAccountName, ce qui permet aux utilisateurs de se connecter avec leurs noms d’utilisateur. Pour obliger les utilisateurs à saisir leur adresse e-mail pour se connecter, modifiez ce champ sur userPrincipalName.

Configurer Citrix ADC pour l’accès Web aux connecteurs

Pour prendre en charge l’accès Web aux connecteurs de zone de stockage, vous devez effectuer une configuration Citrix ADC supplémentaire après avoir terminé l’assistant Citrix ADC pour ShareFile.

  • Créez et configurez un troisième serveur virtuel d’équilibrage de charge Citrix ADC, utilisé pour garantir que les clients ShareFile envoient des informations d’identification uniquement lorsqu’ils sont connectés à un domaine ShareFile approuvé.

    Comme décrit dans les étapes suivantes, vous allez configurer le serveur virtuel supplémentaire pour autoriser l’accès anonyme des clients pour le verbe HTTP OPTIONS. La demande OPTIONS passe au contrôleur de zones de stockage sans être authentifiée et sans appels HTTPS pour valider la signature. La vérification préalable CORS valide la confiance du domaine avant d’envoyer les informations d’identification.

    Une compréhension de CORS n’est pas nécessaire pour effectuer la configuration. Cependant, pour plus d’informations sur CORS, voir http://enable-cors.org/.

  • Pour prendre en charge l’accès Web aux connecteurs de zone de stockage, ajoutez un chemin (/ProxyService) à la stratégie de commutation de contenu utilisée pour le trafic vers /cifs et /sp.

Effectuez les étapes suivantes dans Citrix ADC après avoir terminé l’assistant Citrix ADC pour ShareFile.

  1. Créez un troisième serveur virtuel d’équilibrage de charge :

    1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.

    2. Cliquez sur Ajouter.

    3. Spécifiez les valeurs suivantes :

      Option Valeur
      Nom Un nom de politique, tel que SF_ZONE_OPTIONS
      Protocole SSL
      Type d’adresse IP Non adressable

    4. Cliquez pour créer le serveur virtuel.

    5. Pour lier les mêmes services que les serveurs virtuels d’équilibrage de charge créés par l’assistant : dans l’écran Serveur virtuel d’équilibrage de charge, en face de Service, cliquez sur > , puis sur Enregistrer.

    6. Ajoutez un certificat au serveur virtuel.

  2. Créez une politique pour le serveur virtuel que vous venez d’ajouter :

    1. Accédez à Gestion du trafic > Changement de contenu > Stratégies.

    2. Dans le volet de détails, cliquez sur Ajouter, puis spécifiez les valeurs Nom, Serveur virtuel LB cible et Expression. Cliquez sur Éditeur d’expression puis créez cette expression. Sélectionnez HTTP. Sélectionnez REQ. Sélectionnez MÉTHODE. Sélectionnez EQ(String) et tapez OPTIONS. L’expression doit se lire comme suit : HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Cliquez sur Terminé.

    4. Cliquez sur Create.

  3. Liez la politique que vous venez de créer au nouveau serveur virtuel d’équilibrage de charge :

    1. Accédez à Gestion du trafic > Remplacement de contenu > Serveurs virtuels.

    2. Dans la liste, cliquez sur le serveur virtuel et cliquez sur Modifier.

    3. Accédez à la section Liaison de la stratégie de changement de contenu et cliquez sur 2 Stratégies de changement de contenu.

    4. Cliquez sur Add Binding.

    5. Sélectionnez la nouvelle politique de contenu et sélectionnez le serveur virtuel d’équilibrage de charge cible.

    6. Cliquez sur Bind.

    7. Cliquez sur Modifier la liaison et mettez à jour la Priorité. Modifiez la priorité de la nouvelle politique afin qu’elle ait le numéro le plus bas des trois politiques.

      La politique avec la valeur la plus basse a la priorité la plus élevée et est donc traitée en premier.

  4. Mettre à jour la politique utilisée pour le trafic vers les connecteurs de zone de stockage (_SF_CIF_SP_CSPOL) :

    1. Accédez à Gestion du trafic > Changement de contenu > Stratégies.

    2. Sélectionnez la politique _SF_CIF_SP_CSPOL.

    3. Ajoutez ce qui suit à l’expression de politique :

        || HTTP.REQ.URL.CONTAINS("/ProxyService/")
<!--NeedCopy-->

      L’expression complète de la politique doit être la suivante :

        HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
HTTP.REQ.URL.CONTAINS("/ProxyService/")
<!--NeedCopy-->
  5. Mettre à jour la politique utilisée pour le trafic vers les zones de stockage pour les données ShareFile (_SF_SZ_CSPOL) :

    1. Accédez à Gestion du trafic > Changement de contenu > Stratégies.

    2. Sélectionnez la politique _SF_SZ_CSPOL .

    3. Ajoutez ce qui suit à l’expression de politique :

        && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
<!--NeedCopy-->

      L’expression complète de la politique doit être la suivante :

        HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
&& HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
<!--NeedCopy-->

Configurer Citrix ADC pour le partage en lecture seule

Pour prendre en charge le partage en lecture seule, les utilisateurs doivent pouvoir accéder à votre serveur Microsoft Office Web Apps (OWA). Si votre serveur OWA est accessible en externe sur sa propre adresse, aucune configuration Citrix ADC supplémentaire ne devrait être requise pour votre contrôleur de zones de stockage.

Si vous souhaitez combiner le contrôleur de zones de stockage et Office Web App Server sur une seule adresse externe à l’aide des stratégies de commutation de contenu Citrix ADC, vous devez effectuer une configuration Citrix ADC supplémentaire après avoir terminé l’assistant Citrix ADC pour ShareFile. La configuration de Citrix ADC est requise pour garantir que le trafic est correctement acheminé vers votre serveur OWA accessible en externe.

Une fois les règles Citrix ADC suivantes configurées, les administrateurs peuvent réutiliser l’adresse externe existante de leur zone de contrôleur de zones de stockage, éliminant ainsi le besoin de créer une adresse externe supplémentaire pour OWA.

Pour créer et configurer un serveur virtuel d’équilibrage de charge Citrix ADC supplémentaire :

  1. Créez un service d’équilibrage de charge supplémentaire.
    • Accédez à Gestion du trafic > Équilibrage de charge > Services.
    • Cliquez sur Ajouter.
    • Saisissez les informations requises pour créer un service correspondant à votre/vos serveur(s) OWA. Cliquez sur OK.
  2. Créer un serveur virtuel d’équilibrage de charge supplémentaire :
    • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
    • Cliquez sur Ajouter.

    • Spécifiez les valeurs suivantes :

      Option Valeur
      Nom Un nom de politique, tel que SF_OWA_vServer
      Protocole SSL
      Type d’adresse IP Non adressable
    • Cliquez pour créer le serveur virtuel.
    • Pour lier le serveur virtuel au service OWA que vous avez créé à l’étape précédente, cliquez sur Liaison de service virtuel d’équilibrage de charge > Sélectionner le service. Cochez la case à côté du service que vous avez créé à l’étape précédente.
    • Cliquez sur Sélectionner.
    • Cliquez sur Bind.
  3. Créez une nouvelle politique utilisée pour acheminer le trafic vers votre serveur OWA.
    • Accédez à Gestion du trafic > Changement de contenu > Stratégies.
    • Sélectionnez Add.
    • Nommez la politique.
    • Ajoutez l’expression suivante : - HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) HTTP.REQ.URL.CONTAINS(“/x/”) HTTP.REQ.URL.CONTAINS(“/wv/”) 
            The full policy expression should be as follows:
      
    HTTP.REQ.URL.CONTAINS("/hosting/discovery")
    \|| HTTP.REQ.URL.CONTAINS\(\"/x/\")
    \|| HTTP.REQ.URL.CONTAINS\(\"/wv/\")
    \|| HTTP.REQ.URL.CONTAINS\(\"/p/\")
  4. Mettre à jour la priorité de la nouvelle politique dans le système virtuel d’équilibrage de charge
    • Accédez à Gestion du trafic > Remplacement de contenu > Serveurs virtuels.
    • Cliquez sur le serveur virtuel d’équilibrage de charge, puis sélectionnez Stratégies de commutation de contenu.

    • Modifiez la priorité des politiques afin que la politique (exemple) « _SF_OWA » soit la troisième en priorité.

      Priority Nom de la stratégie
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Cliquez sur Fermer. Cliquez sur Terminé

Créer un moniteur pour le service de contrôleur de zones de stockage

Par défaut, Citrix ADC envoie une requête ping au serveur du contrôleur de zones de stockage pour déterminer s’il est en ligne. Cependant, même si le contrôleur est en ligne, il se peut qu’il ne puisse pas envoyer de messages de pulsation au site Web ShareFile. Dans ce cas, Citrix ADC enverra le trafic au contrôleur de zones de stockage bien qu’il ne communique pas avec ShareFile.

Pour vérifier la connectivité sortante du contrôleur de zones de stockage vers ShareFile, vous pouvez créer un moniteur qui vérifie heartbeat.aspx et le lier au service Citrix ADC pour chaque contrôleur de zones de stockage.

      add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "***ONLINE***” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_Svc est le service Citrix ADC qui correspond à un contrôleur de zones de stockage. Ce nom de service est automatiquement créé par l’assistant Citrix ADC pour ShareFile. Le nom du service inclut l’adresse IP du contrôleur, telle que SF_SVC_ip-address.

-secure OUI est requis si le service écoute sur le port 443.

Vérifiez la configuration de Citrix ADC

Une fois l’assistant terminé, accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels pour afficher l’état des serveurs virtuels d’équilibrage de charge créés par l’assistant.

Afficher le débit des requêtes ShareFile via Citrix ADC

Les statistiques de débit peuvent être trouvées dans le menu du tableau de bord .

Configurer Citrix ADC pour StorageZones Controller
October 23, 2024
Contributeur: 
C C
October 23, 2024
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
©Progress Software all rights reserved