Назад | Перейти на главную страницу

Могу ли я ограничить пользователей Citrix Xenapp просмотром только определенных сайтов или доменов в их браузере?

Я хочу разрешить некоторым пользователям доступ к нашей сети через Citrix. Мы используем XenApp 5.0 и разрешаем Internet Explorer, но хотим ограничить список сайтов, которые они могут посещать. Например, я хотел бы разрешить просмотр сайта A в интрасети, но не сайтов B или C или любых внешних сайтов.

Можно ли управлять такими вещами через Citrix?

security citrix

Вы можете заставить этих пользователей использовать прокси-скрипт с помощью GPO.

Прокси-скрипт - это простой JavaScript, позволяющий прямое соединение через разные прокси или напрямую.

Создайте сценарий так, чтобы разрешенные сайты отправлялись ПРЯМО или через прокси-сервер, используемый в вашей сети (если есть), но все неопределенные сайты отправлялись на поддельный прокси-адрес.

Это могло быть что-то вроде этого:

var local_ip = myIpAddress();

function FindProxyForURL(url, host) 
{

    // Resolve host to IP address
    var resolved_ip = dnsResolve(host);


    // --- BEGIN ALLOWED DESTINATIONS ---

    // Hosts and domains
    if (localHostOrDomainIs(host,   "intranet")                     ||
        localHostOrDomainIs(host,   "servicedesk")                  ||
        localHostOrDomainIs(host,   "serverfault.com"))
    return "DIRECT";

    // IP addresses
    if ((resolved_ip == "10.11.12.13")  ||
        (resolved_ip == "60.61.62.63")  ||  
        (resolved_ip == "80.81.82.83")) 
    return "DIRECT";

    // IP ranges
    if (isInNet(resolved_ip,    "10.0.0.0", "255.0.0.0")    ||
        isInNet(resolved_ip,    "172.16.0.0",   "255.240.0.0")  ||
        isInNet(resolved_ip,    "192.168.0.0",  "255.255.0.0")  ||
        isInNet(resolved_ip,    "127.0.0.0",    "255.255.255.0"))
    return "DIRECT";

    // --- END ALLOWED DESTINATIONS ---

    // Default to bogus proxy server on same subnet as client!
    return "PROXY 10.10.10.10:9999";

    // --------------------------------------------------

}

Замените "DIRECT" на "PROXY ProxyIP: ProxyPort", если используется прокси. Замените фиктивный прокси-сервер «PROXY 10.10.10.10:9999» на IP-адрес на том же сайте, что и ваши серверы Citrix, чтобы сохранить тупиковый трафик в локальной сети.

При желании можно добавить более сложные условия, например соответствие регулярных выражений переменной url или host.

Протестируйте свой собственный сценарий с помощью http://code.google.com/p/pactester/.

Поместите сценарий на внутренний веб-сервер с расширением .pac и поместите URL-адрес в объект групповой политики. Обязательно добавьте расширение файла .pac в список типов MIME веб-сервера как «text / javascript».

Я никогда не использовал файлы PAC для этой цели, поэтому вы, вероятно, захотите убедиться, что Internet Explorer каким-либо образом не откатится на DIRECT, когда он не сможет использовать фиктивный прокси-сервер.

Просто идея.