TIC 0270
Acceso a aplicaciones usando Citrix Metaframe
Analisis de clientes ICA
Joaquín Herrero Pintado
INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA jherrero@mma.es
Plan interadministrativo de formación contínua en el área de tecnologías
de la información y las comunicaciones

Agenda
Enumeracion vs. Ejecucion
Session Reliability (2598)
Distintas maneras de conectar con las aplicaciones
Cliente ICA para Linux
Program Neighborhood para Win32
Create a custom Windows client installation package

Modos de conexión de los clientes ICA
1. Enumerando las aplicaciones a las que tenemos acceso.
Seleccionamos una de las aplicaciones y la ejecutamos.
Útil cuando todas las aplicaciones están en la misma granja
2. Especificando una a una las aplicaciones a las que nos
queremos conectar. Útil cuando queremos tener una única lista
con todas las aplicaciones que usamos en todas las granjas
(el web interface permite obtener una única lista con
todas las aplicaciones a las que tenemos acceso
de todas las granjas que le especifiquemos)

Modos de conexión de los clientes ICA
Modos que enumeran las aplicaciones a las que tenemos acceso
Modo "Program Neighborhood" (PN)
Conecta a XML Service (puerto 80) para enumerar
Conectan con la aplicacion por puerto 1494 (ICA)
Modo "Program Neighborhood Agent" (PNAgent)
A través del Web Interface (puerta 80)
Conecta con la aplicación por puerta 1494
Configuración centralizada en un fichero XML centralizado
Modo "Web Client"
A través del Web Interface (puerto 80)
Conecta con la aplicación por puerta 1494
No tiene nada que configurar, ejecuta archivos .ICA

Adios 1494, bienvenido 2598
A partir de la version 8 los clientes pueden habilitar una característica denominada
"session reliability" que permite a un cliente reconectar a la misma sesion cuando
se ha perdido conectividad, sin informar al cliente de la pérdida de la conexión y sin
que la aplicación desaparezca del puesto cliente (ojos que no ven...)
Usa una nueva puerta, la 2598, que REEMPLAZA a la 1494
El nuevo protocolo encapsula al ICA de siempre
Los clientes anteriores a v8 siguen conectando por la puerta 1494
¿Recordais la problemática que se creaba cuando se corta la conexión con la
aplicación?
Recordemos...

Desconexiones de sesión
El servidor debe llevar registro de sesiones activas y desconectadas
Si se corta conexión, la sesión debe ser puesta en "disconnected"
No es posible conectar con sesiones "Active"
Lo más rápido posible, para que el usuario se reconecte en vez de crear nueva

Técnicas para afrontar un corte de conexión
ICA Keep-Alives
"ICA ping" del servidor al cliente
Si cliente no contesta, sesión pasa a "disconnected" inmediatamente
"Auto Client Reconnect"
Comprobación en la parte del cliente
Comprueba si la ultima sesión está "active"
Si es así, la pone en "disconnect" y se conecta a ella
Inconveniente: la aplicacion "desaparece" y luego "aparece"
O"Session Reliability"
Solo ediciones "advanced" o "enterprise"
La aplicacion nunca desaparace de la vista
Administrators Guide, página 284

CLIENTE ICA PARA LINUX
Ejemplo de instalación en Ubuntu

citrix.com - download clients
Seleccionamos cliente "Linux" si no tenemos uno específico para nuestro sistema

versión, idioma y tipo de paquete
Buscamos versión en nuestro idioma (si la hay), y descargamos el tipo de paquete
que nos interese

Dependencia de librerías Motif
El cliente ICA para Linux usa las librerías gráficas "Motif" en lugar de las GTK, que
son más comunes.
Hay que instalar las librerías de "Motif"

¿Qué es Motif?
"Open Motif" es la versión de Motif que tiene la licencia menos restringida

Descargamos el cliente que hemos seleccionado

Descomprimimos el cliente descargado
Una vez descomprimido, ejecutamos el script de instalación "setupwfc"
Si lo hacemos con privilegios administrativos, el cliente se instala para todos los
usuarios de la máquina

Tres opciones: install / remove / quit
Seleccionamos "Install" para proceder con la instalación

Instalación como administrador o como usuario

Instalación como administrador o como usuario
Se instalará en /usr/lib/ICAClient ya que instalamos como administrador
Si no fueramos administradores, se instalaría en
/home/usuario/ICAClient/linuxx86
y solamente podría usarlo "usuario"
FInalmente aceptamos la licencia

Integración
El cliente ICA se integra con el navegador para ejecutar los ficheros .ICA con el
plugin correspondiente
También se integra en los menús de los escritorios KDE y GNOME

Dos modos de funcionamiento
Como cliente ICA "puro" (1494 [ICA])
Como cliente del Web Interface (80) / Secure Gateway (443)

Modo ICA "puro"
1. Apuntamos a un servidor cualquiera de la granja
2. Seleccionamos una aplicación publicada

Modo ICA "puro"
El usuario tiene una lista de aplicaciones publicada en el servidor
pero...

Inconveniente del modo ICA "puro"
Las credenciales del usuario se verifican cuando intenta acceder a la aplicación
Si el usuario no está autorizado a usarla, se produce un error
Lo ideal es usar un método para que el usuario solamente vea las aplicaciones que
están publicadas para él

Modo PNAgent
PNAgent es la contracción de "Program Neighborhood Agent"
Primero se pide al usuario que se identifique
A continuación se construye una lista con las aplicaciones que están publicadas
para él

Ficheros ejecutables
Normalmente instalado en /usr/lib/ICAClient
setupwfc (shellscript ejecutable)
Instala/desinstala cliente ICA
wfcmgr (binario ejecutable)
El interface gráfico del cliente ICA
wfica (binario ejecutable)
El "runtime" que ejecuta los ficheros .ICA que vienen del servidor

Otros ficheros
readme.txt
El primero que debería leerse
Ficheros .ad
Texto de los mensajes que visualiza el cliente ICA
Podemos traducir algunos de los mensajes
Variables de entorno usadas por los scripts de Citrix
export ICAROOT=/usr/lib/ICAClient

Almacen de certificados
/usr/lib/ICAClient/keystore/cacerts
El cliente ICA no tiene "wizard" para la importación de certificados de autoridades
de certificacion (CAs), tal como hacen los navegadores web, asi que habrá que
copiar aqui los certificados de las CAs que se usen para crear los certificados de
nuestros servidores de seguridad (Secure Gateway)

Datos individuales de cada usuario
En un directorio oculto bajo el directorio home del usuario se encuentra la
configuracion personalizada que él ha hecho de su cliente ICA
$ pwd
/home/jherrero
$ cd .ICAClient
$ ls
appsrv.ini cache pna_menu_items reg.ini wfclient.ini

Ficheros INI
appsrv.ini
Lista de aplicaciones configuradas "a mano"
wfclient.ini
Configuracion personalizada del cliente ICA (wfcmgr)
reg.ini
"Simulacion" de entradas en el registry de Windows
CTX107102
Presentation Server Program Neighborhood Client
for 32-Bit Windows Configuration Guide (INI File Reference), Version 9
Ini_File_Reference.pdf (866.2 K)

Sistemas Operativos "Live"
(sin instalación en disco duro)
Ubuntu
Damn Small Linux
Windows PE

DSL Linux
Arranque
Arrancar el equipo desde el "Live CD"
boot: dsl lang=es
(como está predefinido el teclado americano, el símbolo = es la tecla que hay a la
izquierda de la tecla de borrado "backspace")

DSL Linux
Cliente ICA
Botón derecho sobre el escritorio, "MyDSL", "Citrix ICA Client"

CLIENTES ICA PARA WINDOWS
El Program Neighborhood (PN)
El agente del Program Neighborhood (PNAgent)

Program Neighborhood
Terminologia
Conexiones ICA personalizadas
Es la forma "manual" de especificar conexiones
Buscar nuevo conjunto de aplicaciones
Le decimos uno (o varios) servidores con el XML Service
Enumera las aplicaciones y nos visualiza un icono por cada aplicacion

Nomenclatura Citrix
Windows 9x/NT/2000/2003/XP: 32-bit, 64-bit
Citrix Presentation Server Client Packager - Version 9.1
Ica32pkg.msi
Program Neighborhood
Program Neighborhood Agent
Web Client
Si queremos un fichero con uno solo de los clientes:
1. Navegar a www.citrix.es -> download -> clients ->
Citrix Presentation Server Client Packager - Version 9.1
2. Desplegable en la parte inferior: "More download versions"

Practica con Program Neighborhood
Instalar en el PC el "Program Neighborhood"
Crear un "conjunto de aplicaciones" para la granja
Crear una conexión personalizada para alguna de las aplicaciones
(El PNAgent y el Web Client necesitan que esté instalado el Web Interface, los
usaremos después de instalar el WI)

Posibilidad de hacer un cliente preconfigurado
Cargar el CD de Componentes
Seleccionar "Metaframe Presentation Server Clients"
"Create a custom Windows client installation package"
Crear un cliente preconfigurado para acceder a nuestra granja

Registro de ICA en DNS
Si tenemos solo una granja podemos registrar en el DNS bajo el nombre "ica" las
direcciones IP de los servidores Citrix y asi no tenemos que configurar la IP de los
servidores en cada cliente
SI no hay direcciones IP configuradas, el cliente ICA lanzará una pregunta al DNS
preguntando por "ica" seguido del sufijo del dominio en el que estemos.