NetScaler 结合AD限制用户访问云桌面
-LDAP配置

一． 背景
在XenDesktop 云桌面的交付平台中，NetScaler是最常见被用于公网交付云桌面的安全网关。很多时候客户对云桌面公网的访问还存在公网带宽以及信息安全的考虑，因此希望可以云桌面的公网访问可以限制并指定特殊的人员有权限访问。

二． 原理
当用户在NetScaler Gateway虚拟服务器的登录页面上键入凭据并按Enter键时，NetScaler首先在Active Directory（LDAP）中搜索输入的用户名。如果LDAP策略/服务器中未定义LDAP搜索过滤器，则NetScaler将搜索所有Active Directory用户名以查找匹配项。找到匹配后，NetScaler会提取用户的完整专有名称（DN），并使用用户的DN和密码对Active Directory进行身份验证。
如果定义了LDAP搜索过滤器，则仅搜索与LDAP搜索过滤器匹配的用户名以查找用户名匹配。例如，如果将LDAP搜索过滤器构造为仅搜索Active Directory组的成员，则用户输入的用户名必须与该组的成员匹配。

三． 配置步骤
3.1 进入AD，打开Active Director 用户和计算机

3.2 点击查看，打开“高级功能”

3.3 右击允许访问的用户组，选择“属性”

3.4 选择“属性编辑器”，双击“distinguishedName”

3.5 复制属性的值

3.6 登录到NetScaler的管理页面，选择“NetScaler Gateway – Virtual Servers -”

3.7 选中右侧的虚拟服务器，点击编辑；

3.8 找到“Basic Authentication”下面的 “LDAP Policy”，点击配置

3.9 在编辑的下拉菜单中选择“Edit Server”

3.10 在Other Settings下面的“Search Filter”的框中输入“memberof=CloudUsers,OU=生产用户,OU=用户,OU=云桌面测试平台,DC=home,DC=local”（注意是“memberof=”+“允许访问用户组的属性值”），点击ok，保存配置。到此配置完成。

 
四．参考KB链接
https://support.citrix.com/article/CTX111079