SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit
Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID unter Verwendung von Citrix Komponenten. Swiss SafeLab M.ID lässt sich auch mit einer vielzahl anderer Produkte anderer Hersteller redundant aufbauen. Citrix Komponenten wurden in diesem Fall lediglich als Fallbeispiel verwendet! Citrix ist keine Grundvoraussetzung für die Verwendung von Swiss SafeLab M.ID! Sämtliche nachfolgend aufgeführten und erwähnten Ports können beliebig geändert werden. In diesem Szenario wurden die standard Ports verwendet. Sämtliche Kommunikationswege können nach Bedarf mit SSL verschlüsselt werden. Nachfolgend wurde das am häufigsten verwendete Szenario gewählt Nachfolgendes Beispiel zeigt eine Installation mit redundant ausgelegten Komponenten. Swiss SafeLab M.ID Komponenten lassen sich sehr einfach, schnell, zu jedem beliebigen Zeitpunkt und ohne Betriebsunterbruch skalieren und erweitern. Zu jedem beliebigen Zeitpunkt können beliebig viele M.ID Agents und M.ID Services mit einem minimalen Aufwand hinzugefügt werden. Im kommenden Beispiel sind folgende Swiss SafeLab M.ID Komponenten doppelt ausgelegt: - Swiss SafeLab M.ID Agent auf Citrix Web Interface Servern - Swiss SafeLab M.ID Server Weitere redundant ausgelegte Komponenten des nachfolgenden Beispiels: - Citrix Access Gateway - Citrix Web Interface - Citrix Terminal Server (Citrix Farm) - Domain Controller
Empfohlene Platzierung der Komponenten WAN DMZ LAN CITRIX Webinterface M.ID Server 1 Domain Controller 1 Gateway 1 Load Balancer Citrix Farm Gateway 2 Domain Controller 2 CITRIX Webinterface 2 M.ID Server 2
Komponenten DMZ: Legende (Beschreibung Komponenten) Load Balancer in diesem Szenario gewährleistet der Load Balancer das Load Balancing und Failover für mehrere Citrix Access Gateway Appliances und mehrere Citrix Webinterface Server. Citrix Webinterface 1+2 inkl. M.ID Agent Das Webinterface von Citrix stellt den Benutzern die Applikationen aus der Citrix Farm webbasiert zur Verfügung. Das Webinterface wird aus Redundanz und Load Balancing Gründen auf 2 Servern installiert und 1:1 genau gleich konfiguriert. Das Load Balancing für das Citrix Web Interface bietet in diesem Szenario auch der Load Balancer. Auf dem Webinterface wird auch der M.ID Agent für 2 Faktor Authentisierung über SMS installiert. Alternativ kann hier auch anstelle des M.ID Agents fürs Webinterface eine Radius Kommunikation konfiguriert werden, in diesem Fall wird KEIN M.ID Agent benötigt (Unterstützt ab Webinterface 5.0 oder Anmeldung wird direkt am Citrix Access Gateway mit Radius konfiguriert - nicht behandelt in diesem Dokument!). Citrix Access Gateway 1+2 Das CAG ist eine Hardware Appliance, welche einerseits SSL Proxy Funktionalität für HTTP/HTTPS und ICA/SSL bietet, andererseits ist das CAG aber auch eine SSL VPN Appliance mit Endpoint Security. Das Access Gateway wird verwendet um die Kommunikation vom Client zum Webinterface mit SSL zu verschlüsseln, aber auch um Citrix ICA Sessions zu den Citrix Servern abzusichern. Das CAG wird für Lastverteilung und Ausfallsicherheit in diesem Beispiel doppelt aufgebaut. Komponenten LAN: M.ID Server 1+2 Der M.ID Server befindet sich im LAN und kann auf einem beliebigen Server/PC installiert werden. Er bietet 2 Faktor Authentifizierung über SMS. Der Service dient zum Authentisieren der Benutzer und zum verschicken von Passcodes per SMS. Aus Redundanzgründen wird der M.ID Service auf 2 unterschiedlichen Servern installiert. Der M.ID Service kann aus Redundanzgründen beliebig oft installiert und verwendet werden. Domain Controller 1+2 Die DC s werden vom M.ID Service verwendet um Benutzernamen und Passwörter der User zu überprüfen. Zur Ausfallsicherheit werden auch hier mindestens 2 Domain Controller angegeben, es können aber auch noch weitere angegeben werden. Citrix Farm Die Citrix Presentation Server Farm stellt den Benutzern zentralisiert veröffentlichte Applikationen und Desktops über Terminal Server Remoteverbindungen zur Verfügung. Applikationen stehen in der Citrix Farm zur Verfügung, unabhängig davon von wo sich ein User verbindet wie zb. Home Office, Aussenstandort, internet Café etc...aus Failover und Load Balancing Gründen sollte eine Citrix Server Farm immer aus mindestens 2 oder mehr Servern bestehen.
Kommunikationswege der Komponenten in einer redundanten Installation (Fallbeispiel eines Verbindungsaufbaus von A - Z) WAN DMZ LAN Gateway 1 7 CITRIX Webinterface STA :80 - ICA :1494 M.ID Server 1 Domain Controller 1 1 SSL :443 7 SSL: 443 SSL :443 HTTP :80 2 7 Citrix Farm Load Balancer HTTP :80 2 5 6 XML:80 - STA :80 3 M.ID :81 4 LDAP :389 Domain Controller 2 Gateway 2 CITRIX Webinterface 2 M.ID Server 2
Legende Aufbau einer Citrix ICA Session von A Z mit redundanten Komponenten auf einen Blick Nachfolgend wird der Ablauf der Kommunikation vom Aufruf der Webinterface Seite bis zur erfolgreich erstellten Citrix Session beschrieben. Schritt 1 Der Benutzer gibt die URL des Citrix Access Gateways in seinem Browser ein um über den Load Balancer auf das Web Interface zu gelangen. Die HTTPS Verbindung wird über das Citrix Access Gateway zum Webinterface aufgebaut. Beim Aufbau der Session entscheidet der Hardware Load Balancer welcher Access Gateway die Verbindung erhalten soll. Es werden in diesem Fall mindestens 2 Access Gateways verwendet. Schritt 2 Der Access Gateway stellt die gewünschte Webverbindung zum Webinterface her. Dabei kommuniziert der Access Gateway wieder über den Load Balancer, welcher dann entscheidet zu welchem Webinterface Server die Verbindung aufgebaut werden soll. Es werden in diesem Fall mindestens 2 genau gleich konfigurierte Webinterface Server verwendet. Schritt 3 Der Benutzer meldet sich am Webinterface mit Benutzernamen, Password und M.ID Pin an. Dabei Kommuniziert das Webinterface über Port 81 mit dem M.ID Service im LAN um den Benutzernamen und den M.ID Pin im LDAP abzufragen und eine SMS mit einem Passcode an den anzumeldenden Benutzer zu schicken. Es können mehrere SMS Provider konfiguriert werden um die Zustellung der SMS zu gewährleisten. Auch der M.ID Service wird aus Redundanzgründen mehrfach im LAN installiert. Ist ein M.ID Service nicht verfügbar, verwendet das Citrix Webinterface automatisch den nächsten konfigurierten M.ID Server. Schritt 4 Der Benutzer trägt den per SMS erhaltenen Passcode im Webinterface ein. Dabei wird der Passcode vom M.ID Service überprüft.
Schritt 5 War beim vorangehenden Punkt der SMS Passcode richtig, dann wird die Anmeldung an der Citrix Farm über XML Port 80 durchgeführt. Konnte die Citrix Farm den User erfolgreich authentifizieren, dann werden über den XML Dienst die Applikationen ermittelt die für diesen User zur verfügung stehen. Diese Applikationsgruppe wird an das Webinterface übermittelt, das Webinterface erstellt die Seite für den Benutzer mit den Applikationen. Schritt 6 Der Benutzer klickt nun auf die gewünschte Applikation um sie zu starten. Dabei ermittelt das Webinterface wieder über XML Port 80 welcher Server, mit der gewünschten Applikation, gerade die tiefste Last hat und welcher Port für die Verbindung verwendet werden soll. Diese Informationen werden vom Webinterface in die STA (Secure Ticketing Authority) über Port 80 abgelegt und im Gegenzug dafür wird ein Ticket bezogen. Vom Webinterface wird ein ICA File erstellt, welches die Verbindungsinformationen zum Access Gateway und das von der STA bezogene Ticket enthält. Dieses ICA File wird zum Herstellen der Citrix Session verwendet und wird über die Webverbindung an den Client geschickt. Die STA ist in jedem Presentation Server ab Version 4.0 direkt im XML Dienst integriert und braucht nicht separat installiert werden. Schritt 7 (rosa Pfeil) Der Citrix Client auf dem liest das erhaltene ICA File aus und stellt über SSL 443 eine Verbindung zum Access Gateway her. Auch hier entscheidet wieder der Load Balancer auf welches Citrix Access Gateway die Verbindung hergestellt wird. Dabei wird das STA Ticket dem Access Gateway übergeben, welches das Ticket über Port 80 auf der STA einreicht. Im Gegenzug erhält das Access Gateway die ICA Verbindungsinformationen wie Server IP Adresse, Applikation, Portnummer etc. Das Access Gateway verwendet die ICA Verbindungsinformationen um eine ICA Session auf die Citrix Farm herzustellen. Nun kommuniziert der Client ausschliesslich mit dem Access Gateway über SSL 443. Das Access Gateway spielt den SSL Proxy Server und kommuniziert auf einer Seite über SSL mit dem Client und auf anderer Seite stellt nun das Access Gateway die ICA Verbindung zum entsprechenden Citrix Server her. Es gibt nun keine direkten Verbindungen vom Client, weder zum Webinterface noch zu den Citrix Servern.