Netscaler+RSA+XenApp 配置手册

NetScaler 结合RSA认证配置手册
目录
NetScaler 结合RSA认证配置手册 (1)
一、建session会话策略 (2)
二、建认证服务器及策略 (8)
三、建Virtual Servers (10)
四、Web interface配置 (14)
五、RSA服务器设置 (18)
六、用户访问 (22)
一、建session会话策略
1.建WEB方式访问的会话策略：
2.设置PNA方式访问的会话策略，主要用于移动办公如IPAD
3.会话策略表达式设置如下：
二、建认证服务器及策略
1.添加LADP服务器，指向AD域控
2.添加Radius认证服务器，指向RSA服务器的IP，此处的Secret Key填写在RSA服务器上设置的Share Secret另外密码加密方式需要跟RSA工程师确认是否是pap方式，默认是pap
3.配置服务器的策略如下：必须设置4个策略，如下截图
三、建Virtual Servers
1.添加证书
2.添加认证服务，在primary和secondary里RSA认证服务级别设置为比AD高，如下图：
3.添加会话策略服务，设置PNA方式级别高于WEB方式
4.添加发布应用服务
四、Web interface配置
1.Web站点设置
默认直接(内网)和网关直接（外网）需要分别设置在两个web站点里，如下XenApp和XenApp1截图
2.Service站点PNA设置
默认直接和网关直接可以设置在同一个service站点里,如下截图
如下网关直接的IP记得配置为netscaler的SNIP，而不是NSIP
五、RSA服务器设置
1.在添加client和Agent时，hostname和IP地址都指向NetScaler NSIP
2.把AD域控里的用户同步到RSA服务器上
说明：此环境AD域控（）里有个OU组织单元test和一个用户组test，此组里有test1-5账户
六、用户访问
按照以上配置后，就可以开始在外网访问，打开访问页面会出现如下3个框，第一个框输入AD账户，第二个框输入静态AD密码，第三个框输入RSA的PIN码+令牌动态密码
补充：如果RSA管理员没有在后台给用户设置好PIN码，那么用户第一次访问时会出现对话框需要自己设置PIN码，
流程如下：
1.浏览器输入访问地址，出现如下截图3个框，前两个框输入AD账户和密码，第三个框只需要输入令牌上的动态密码（不带PIN码），然后点log on
2.出现如下图需要用户设置PIN码：
设置好PIN码以及reconfirm PIN码后，会出现一个框（如下截图）需要你输入下一个动态令牌，此时你需要输入之前设置好的PIN码+令牌动态密码作为passcode完成后就可以登陆进去打开系统里的应用。