Smartcardauthentifizierung konfigurieren

Dieser Artikel bietet einen Überblick über die Aufgaben zum Einrichten der Smartcardauthentifizierung für alle Komponenten in einer typischen StoreFront-Bereitstellung. Weitere Informationen und schrittweise Anweisungen zur Konfiguration finden Sie in der Dokumentation für die einzelnen Produkte.

Smart card configuration for Citrix environments (PDF)

Dies ist eine Übersicht über das Konfigurieren einer Citrix Bereitstellung unter Verwendung eines spezifischen Smartcardtyps. Bei Smartcards anderer Hersteller sind die Arbeitsschritte ähnlich.

Voraussetzungen

  • Stellen Sie sicher, dass die Konten für alle Benutzer entweder in der Microsoft Active Directory-Domäne konfiguriert werden, in der Sie die StoreFront-Server bereitstellen, oder in einer Domäne, die eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne hat.
  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards aktivieren möchten, müssen Sie sicherstellen, dass die Smartcardleser, die Art und Konfiguration der Middleware und die Richtlinie für das Zwischenspeichern von Middleware-PINs dies gestatten.
  • Installieren Sie die Smartcard-Middleware des Herstellers auf den virtuellen oder physischen Maschinen, auf denen Virtual Delivery Agent zur Bereitstellung von Desktops und Anwendungen ausgeführt wird. Weitere Informationen zur Verwendung von Smartcards mit XenDesktop finden Sie unter Smartcards.
  • Bevor Sie fortfahren, vergewissern Sie sich, dass die Public Key-Infrastruktur richtig konfiguriert ist. Prüfen Sie die ordnungsgemäße Konfiguration der Zertifikat-/Kontenzuordnung für die Active Directory-Umgebung und ob die Zertifikatüberprüfung erfolgreich ausgeführt werden kann.

Konfigurieren von NetScaler Gateway

  • Installieren Sie auf dem NetScaler Gateway-Gerät ein signiertes Serverzertifikat von einer Zertifizierungsstelle. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten.

  • Installieren Sie auf dem Gerät das Stammzertifikat der Zertifizierungsstelle, die die Smartcardbenutzerzertifikate ausstellt. Weitere Informationen finden Sie unter To install a root certificate on NetScaler Gateway.

  • Erstellen und konfigurieren Sie einen virtuellen Server für die Clientzertifikatauthentifizierung. Erstellen Sie eine Richtlinie für die Zertifikatauthentifizierung mit SubjectAltName:PrincipalName als Benutzernamenextrahierung aus dem Zertifikat. Binden Sie dann die Richtlinie an den virtuellen Server und konfigurieren Sie den virtuellen Server zum Anfordern von Clientzertifikaten. Weitere Informationen finden Sie unter Configuring and Binding a Client Certificate Authentication Policy.

  • Binden Sie das Zertifizierungsstellen-Stammzertifikat an den virtuellen Server. Weitere Informationen finden Sie unter To add a root certificate to a virtual server.

  • Sie können sicherstellen, dass Benutzer beim Herstellen einer Verbindung zu ihren Ressourcen nicht ein weiteres Mal vom virtuellen Server aufgefordert werden, ihre Anmeldeinformationen einzugeben, indem Sie einen zweiten virtuellen Server erstellen. Wenn Sie den virtuellen Server erstellen, deaktivieren Sie die Clientauthentifizierung in den SSL-Parametern (Secure Sockets Layer). Weitere Informationen finden Sie unter Konfigurieren der Smartcardauthentifizierung.

    Sie müssen auch StoreFront so konfigurieren, dass Benutzerverbindungen zu Ressourcen über diesen zusätzlichen virtuellen Server geleitet werden. Benutzer melden sich beim ersten virtuellen Server an und der zweite virtuelle Server wird für Verbindungen zu ihren Ressourcen verwendet. Wenn die Verbindung hergestellt ist, brauchen Benutzer sich nicht bei NetScaler Gateway zu authentifizieren. Sie müssen bei der Anmeldung an ihren Desktops und Anwendungen jedoch ihre PIN eingeben. Das Konfigurieren eines zweiten virtuellen Servers für Verbindungen zu Ressourcen ist optional, sofern Sie nicht planen, allen Benutzern bei Problemen mit der Smartcard den Rückgriff auf die explizite Authentifizierung zu gestatten.

  • Erstellen Sie Sitzungsrichtlinien und Profile für Verbindungen von NetScaler Gateway zu StoreFront und binden Sie diese an den geeigneten virtuellen Server. Weitere Informationen finden Sie im Supportartikel.

  • Wenn Sie den virtuellen Server für Verbindungen mit StoreFront so konfiguriert haben, dass eine Clientzertifikat-Authentifizierung für die gesamte Kommunikation erforderlich ist, müssen Sie einen weiteren virtuellen Server zum Bereitstellen der Callback-URL für StoreFront erstellen. Dieser virtuelle Server wird nur von StoreFront verwendet, um Anforderungen vom NetScaler Gateway-Gerät zu überprüfen. Daher muss er nicht öffentlich zugänglich sein. Ein eigener virtueller Server ist erforderlich, wenn die Clientzertifikat-Authentifizierung obligatorisch ist, da StoreFront kein Zertifikat für die Authentifizierung vorlegen kann. Weitere Informationen finden Sie unter Creating Virtual Servers.

Konfigurieren von StoreFront

  • Sie müssen HTTPS für die Kommunikation zwischen StoreFront und Benutzergeräten verwenden, um die Smartcardauthentifizierung zu aktivieren. Konfigurieren Sie Microsoft-Internetinformationsdienste (IIS) für HTTPS, indem Sie ein SSL-Zertifikat in IIS beziehen und dann die HTTPS-Bindung zu der Standardwebsite hinzufügen. Weitere Informationen zum Erstellen eines Serverzertifikats in IIS finden Sie unter https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11). Weitere Hinweise zum Hinzufügen einer HTTPS-Bindung zu einer IIS-Site finden Sie unter https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11).

  • Wenn Sie möchten, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs präsentiert werden, konfigurieren Sie IIS auf dem StoreFront-Server.

    Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in IIS nur, dass Clientzertifikate für HTTPS-Verbindungen mit der URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiert werden. Diese Konfiguration ist erforderlich, damit Smartcardbenutzer auf die explizite Authentifizierung zurückgreifen können und, mit den entsprechenden Windows-Richtlinieneinstellungen, damit Benutzer ihre Smartcard entfernen können, ohne sich neu authentifizieren zu müssen.

    Wenn IIS so konfiguriert ist, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs erforderlich sind, können Benutzer von Smartcards keine Verbindung über NetScaler Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards aus Geräten entfernen. Zum Aktivieren dieser IIS-Sitekonfiguration müssen Authentifizierungsdienst und Stores auf demselben Server sein und es muss ein Clientzertifikat verwendet werden, das für alle Stores gilt. Die Konfiguration, bei der IIS Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs benötigt, verursacht einen Konflikt mit der Authentifizierung für Citrix Receiver für Web-Clients. Aus diesem Grund sollte diese Konfiguration nur verwendet werden, wenn Citrix Receiver für Web-Clientzugriff nicht erforderlich ist.

    Wenn Sie StoreFront auf Windows Server 2012 installieren, wird nicht selbstsignierten Zertifikaten, die im Zertifikatspeicher der vertrauenswürdigen Zertifizierungsstellen auf dem Server installiert sind, nicht vertraut, wenn IIS für die Verwendung von SSL und Clientzertifikatauthentifizierung konfiguriert ist. Weitere Informationen zum Beheben des Problems finden Sie unter http://support.microsoft.com/kb/2802568.

  • Installieren und konfigurieren Sie StoreFront. Erstellen Sie den Authentifizierungsdienst und fügen Sie Ihre Stores wie erforderlich hinzu. Wenn Sie Remotezugriff über NetScaler Gateway konfigurieren, aktivieren Sie nicht die VPN-Integration (virtuelles privates Netzwerk). Weitere Informationen finden Sie unter Installieren und Einrichten von StoreFront.

  • Aktivieren Sie die Smartcardauthentifizierung bei StoreFront für lokale Benutzer im internen Netzwerk. Für Smartcardbenutzer, die auf Stores über NetScaler Gateway zugreifen, aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway und stellen Sie sicher, dass StoreFront so konfiguriert ist, dass die Überprüfung der Anmeldeinformationen an NetScaler Gateway delegiert wird. Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn Sie Citrix Receiver für Windows auf in Domänen eingebundenen Benutzergeräten installieren, aktivieren Sie die Domänen-Passthrough-Authentifizierung. Weitere Informationen finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.

    Für die Citrix Receiver für Web-Clientauthentifizierung mit Smartcards müssen Sie die Authentifizierungsmethode über Citrix Receiver für Web-Site aktivieren. Weitere Informationen finden Sie unter Konfigurieren von Citrix Receiver für Web-Sites.

    Wenn Sie Smartcardbenutzern gestatten möchten, bei Problemen mit der Smartcard auf die explizite Authentifizierung zurückzugreifen, deaktivieren Sie die Authentifizierung über Benutzernamen und Kennwort nicht.

  • Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn Sie Citrix Receiver für Windows auf domänengebundenen Benutzergeräten installieren, bearbeiten Sie die Datei default.ica für den Store, um den Passthrough der Smartcardanmeldeinformationen bei Zugriff auf Desktops und Anwendungen zu ermöglichen. Weitere Informationen finden Sie unter Aktivieren von Passthrough mit Smartcardauthentifizierung für Citrix Receiver für Windows.

  • Wenn Sie einen zusätzlichen virtuellen Server für NetScaler Gateway erstellt haben, der ausschließlich für Verbindungen zu Ressourcen verwendet werden soll, konfigurieren Sie das optimale NetScaler Gateway-Routing über diesen virtuellen Server für Verbindungen mit den Bereitstellungen von Desktops und Anwendungen für den Store. Weitere Informationen finden Sie unter Konfigurieren des optimalen HDX-Routings für einen Store.

  • Damit Benutzer nicht domänengebundener Windows-Desktopgeräte sich bei ihren Desktops mit Smartcards anmelden können, aktivieren Sie die Smartcardauthentifizierung bei den Desktopgerätesites. Weitere Informationen finden Sie unter Konfigurieren von Desktopgerätesites.

Konfigurieren Sie die Desktopgerätesite für Smartcard- und explizite Authentifizierung, damit sich Benutzer bei einem Problem mit der Smartcard mit expliziten Anmeldeinformationen anmelden können.

  • Damit Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, sich mit Smartcards authentifizieren können, aktivieren Sie die Passthrough-Authentifizierung mit Smartcards für die XenApp Services-URLs. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für XenApp Services-URLs.

Konfigurieren von Benutzergeräten

  • Stellen Sie sicher, dass die Smartcard-Middleware des Herstellers auf allen Benutzergeräten installiert ist.

  • Installieren Sie für Benutzer nicht domänengebundener Windows-Desktopgeräte Citrix Receiver für Windows Enterprise mit einem Konto mit Administratorrechten. Konfigurieren Sie Internet Explorer so, dass die Anwendung im Vollbildmodus gestartet und die Desktopgerätesite angezeigt wird, wenn das Gerät eingeschaltet ist. Beachten Sie, dass bei Desktopgerätesite-URLs zwischen Groß- und Kleinschreibung unterschieden wird. Fügen Sie die Desktopgerätesite der Zone “Lokales Intranet” oder “Vertrauenswürdige Sites” in Internet Explorer hinzu. Nachdem Sie geprüft haben, dass Sie sich bei der Desktopgerätesite mit einer Smartcard anmelden und auf Ressourcen aus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sie unter Installieren von Desktop Lock.

  • Installieren Sie für Benutzer domänengebundener Desktopgeräte und für Benutzer umfunktionierter PCs Citrix Receiver für Windows Enterprise mit einem Konto mit Administratorrechten. Konfigurieren Sie Receiver für Windows mit der XenApp Services-URL für den entsprechenden Store. Nachdem Sie geprüft haben, dass Sie sich am Gerät mit einer Smartcard anmelden und auf Ressourcen aus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sie unter Installieren von Desktop Lock.

  • Für alle anderen Benutzer installieren Sie die entsprechende Version von Citrix Receiver auf dem Benutzergerät. Zum Aktivieren des Passthrough von Smartcardanmeldeinformationen zu XenDesktop und XenApp für Benutzer domänengebundener Geräte verwenden Sie ein Konto mit Administratorrechten für die Installation von Receiver für Windows an einer Eingabeaufforderung mit der Option /includeSSON. Weitere Informationen finden Sie unter Konfigurieren und Installieren von Receiver für Windows mit Befehlszeilenparametern.

    Stellen Sie sicher, dass Receiver für Windows für die Smartcardauthentifizierung über eine Domänenrichtlinie oder eine lokale Computerrichtlinie konfiguriert wurde. Für eine Domänenrichtlinie importieren Sie mit der Gruppenrichtlinien-Verwaltungskonsole die Gruppenrichtlinienobjektvorlage icaclient.adm auf dem Domänencontroller für die Domäne, in der die Benutzerkonten sind. Zum Konfigurieren eines einzelnen Geräts konfigurieren Sie mit dem Gruppenrichtlinienobjekt-Editor auf dem Gerät die Vorlage. Weitere Informationen finden Sie unter Konfigurieren von Receiver mit der Gruppenrichtlinienobjektvorlage.

    Aktivieren Sie die Richtlinie Smartcardauthentifizierung. Zum Gestatten von Passthrough der Smartcardanmeldeinformationen wählen Sie Use pass-through authentication for PIN. Damit die Smartcardanmeldeinformationen an XenDesktop und XenApp weitergeleitet werden, aktivieren Sie dann die Richtlinie Local user name and password und wählen Sie die Option Allow pass-through authentication for all ICA connections. Weitere Informationen finden Sie in der Referenz zu ICA-Einstellungen.

    Wenn Sie Passthrough von Smartcardanmeldeinformationen an XenDesktop und XenApp für Benutzer domänengebundener Geräte aktiviert haben, fügen Sie die Store-URL der Zone “Lokales Intranet” oder “Vertrauenswürdige Sites” in Internet Explorer hinzu. Stellen Sie sicher, dass Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort in den Sicherheitseinstellungen der Zone ausgewählt ist.

  • Wo nötig, stellen Sie Benutzern die Verbindungsinformationen für den Store (Benutzer im internen Netzwerk) oder das NetScaler Gateway-Gerät (für Remotebenutzer) mit einer entsprechenden Methode zur Verfügung. Weitere Informationen über die Bereitstellung von Konfigurationsinformationen für die Benutzer finden Sie unter Citrix Receiver.

Aktivieren von Passthrough mit Smartcardauthentifizierung für Receiver für Windows

Sie können die Passthrough-Authentifizierung aktivieren, wenn Sie Receiver für Windows auf Benutzergeräten installieren, die in der Domäne sind. Bearbeiten Sie die Datei default.ica für den Store, um Passthrough der Smartcardanmeldeinformationen des Benutzers beim Zugriff auf Desktops und Anwendungen zu aktivieren, die von XenDesktop und XenApp gehostet werden.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Zum Abschluss übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

  1. Öffnen Sie die Datei default.ica für den Store mit einem Texteditor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\App_Data\, wobei “storename” für den Namen steht, der beim Erstellen des Stores angegeben wurde.

  2. Für das Passthrough von Smartcardanmeldeinformationen für Benutzer, die ohne NetScaler Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Bereich [Application] hinzu.

    DisableCtrlAltDel=Off
    <!--NeedCopy-->
    

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

  3. Für Passthrough von Smartcardanmeldeinformationen für Benutzer, die mit NetScaler Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Bereich [Application] hinzu.

    UseLocalUserAndPassword=On
    <!--NeedCopy-->
    

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für bestimmte Benutzer zu aktivieren, während andere sich anmelden müssen, um auf ihre Desktops und Anwendungen zuzugreifen, müssen Sie für jede Gruppe von Benutzern verschiedenen Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

Smartcardauthentifizierung konfigurieren