Posso restringir usuários do Citrix Xenapp à visualização de apenas determinados sites ou domínios em seus navegadores

Question

Posso restringir usuários do Citrix Xenapp à visualização de apenas determinados sites ou domínios em seus navegadores

#1 resposta do (3 votos)

1

Gostaria de permitir que determinados usuários acessem nossa rede via Citrix. Estamos usando o XenApp 5.0 e permitiremos o Internet Explorer, mas queremos restringir quais sites eles podem visitar. Por exemplo, gostaria de permitir a navegação no site da Intranet A, mas não nos sites B ou C ou em sites externos.

Esse tipo de coisa pode ser controlado via Citrix?

security citrix

por Ken Pespisa 26.08.2010 / 20:28

1 resposta

Tags security citrix

Como você sincroniza o conteúdo entre os servidores IIS? Win Server 2008 R2 não reconhecendo meu roteador como encaminhando servidor DNS

score 3 · Accepted Answer

Você pode forçar esses usuários a usar um script de proxy usando um GPO.

O script de proxy é um JavaScript simples, permitindo que você direcione a conexão por meio de diferentes proxies ou diretos.

Crie o script para que os sites permitidos sejam enviados DIRECT ou pelo proxy usado em sua rede (se houver), mas todos os sites indefinidos são enviados para um falso endereço de proxy.

Pode ser algo assim:

var local_ip = myIpAddress();

function FindProxyForURL(url, host) 
{

    // Resolve host to IP address
    var resolved_ip = dnsResolve(host);


    // --- BEGIN ALLOWED DESTINATIONS ---

    // Hosts and domains
    if (localHostOrDomainIs(host,   "intranet")                     ||
        localHostOrDomainIs(host,   "servicedesk")                  ||
        localHostOrDomainIs(host,   "serverfault.com"))
    return "DIRECT";

    // IP addresses
    if ((resolved_ip == "10.11.12.13")  ||
        (resolved_ip == "60.61.62.63")  ||  
        (resolved_ip == "80.81.82.83")) 
    return "DIRECT";

    // IP ranges
    if (isInNet(resolved_ip,    "10.0.0.0", "255.0.0.0")    ||
        isInNet(resolved_ip,    "172.16.0.0",   "255.240.0.0")  ||
        isInNet(resolved_ip,    "192.168.0.0",  "255.255.0.0")  ||
        isInNet(resolved_ip,    "127.0.0.0",    "255.255.255.0"))
    return "DIRECT";

    // --- END ALLOWED DESTINATIONS ---

    // Default to bogus proxy server on same subnet as client!
    return "PROXY 10.10.10.10:9999";

    // --------------------------------------------------

}

Substitua "DIRECT" por "PROXY ProxyIP: ProxyPort" se um proxy for usado. Substitua o proxy falso "PROXY 10.10.10.10:9999" por um endereço IP no mesmo local que os seus servidores Citrix, para manter o tráfego sem saída na LAN.

Se desejar, você pode adicionar condições mais sofisticadas, por exemplo correspondência de regex na variável "url" ou "host".

Teste seu próprio script com o link .

Coloque o script em um servidor da Web interno com uma extensão .pac e coloque o URL no GPO. Certifique-se de adicionar a extensão de arquivo .pac à lista de tipos MIME do servidor da Web como "text / javascript".

Eu nunca usei arquivos PAC para essa finalidade, então você provavelmente quer garantir que o Internet Explorer não faça fallback no DIRECT, quando ele falhar em usar o servidor proxy falso.

Apenas uma ideia.