Citrix Endpoint Management

Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken

Endpoint Management unterstützt die domänenbasierte Authentifizierung mit einem oder mehreren Lightweight Directory Access Protocol-konformen Verzeichnissen. Sie konfigurieren eine Verbindung in Endpoint Management mit einem oder mehreren Verzeichnissen. Endpoint Management verwendet dann die LDAP-Konfiguration für den Import von Gruppen, Benutzerkonten und zugehörigen Eigenschaften.

Wichtig:

Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei Endpoint Management registriert haben.

Info über LDAP

LDAP ist ein herstellerneutrales Open-Source-Anwendungsprotokoll zur Verwaltung eines verteilten Verzeichnisinformationsdiensts über ein Internet Protocol-Netzwerk. Verzeichnisinformationsdienste werden verwendet, um Informationen zu Benutzern, Systemen, Netzwerken, Diensten und Anwendungen über das Netzwerk zu teilen.

LDAP wird häufig zur Bereitstellung von Single Sign-On (SSO) für Benutzer eingesetzt, bei dem ein Kennwort (pro Benutzer) für mehrere Dienste verwendet wird. Mit Single Sign-On melden sich die Benutzer einmal bei der Unternehmenswebsite an und erhalten so authentifizierten Zugriff auf das Unternehmensintranet.

Ein Client beginnt eine LDAP-Sitzung durch Herstellen einer Verbindung mit einem LDAP-Server (dem Directory System Agent, DSA). Der Client sendet eine Vorgangsanforderung an den Server, der die entsprechende Authentifizierung zurückgibt.

Konfigurieren von LDAP-Verbindungen in Endpoint Management

Normalerweise konfigurieren Sie LDAP-Verbindungen beim Onboarding in Endpoint Management, wie unter Konfigurieren von LDAP beschrieben. Wenn die Bildschirme im Abschnitt beim Onboarding noch nicht verfügbar waren, verwenden Sie die Informationen in diesem Abschnitt, um LDAP-Verbindungen hinzuzufügen.

  1. Gehen Sie in der Endpoint Management-Konsole zu Einstellungen > LDAP.

  2. Klicken Sie unter Server auf LDAP. Die Seite LDAP wird angezeigt.

    LDAP-Konfigurationsbildschirm

  3. Klicken Sie auf der Seite LDAP auf Hinzufügen. Die Seite LDAP hinzufügen wird angezeigt.

    LDAP-Konfigurationsbildschirm

  4. Konfigurieren Sie folgende Einstellungen:

    • Verzeichnistyp: Klicken Sie in der Liste auf den Verzeichnistyp. Die Standardeinstellung ist Microsoft Active Directory.
    • Primärer Server: Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
    • Sekundärer Server: Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein. Dieser Server ist ein Failoverserver und wird verwendet, wenn der primäre Server nicht erreichbar ist.
    • Port: Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist 389. Verwenden Sie Port 636 für sichere LDAP-Verbindungen, 3268 für unsichere Microsoft-LDAP-Verbindungen oder 3269 für sichere Microsoft-LDAP-Verbindungen.
    • Domänenname: Geben Sie den Domänennamen ein.
    • Basis-DN für Benutzer: Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele: ou=users, dc=example oder dc=com.
    • Basis-DN für Gruppen: Geben Sie den Speicherort von Gruppen in Active Directory ein. Beispiel: cn=users, dc=domain, dc=net, wobei cn=users für den Containernamen der Gruppen und dc für die Domänenkomponente von Active Directory steht.
    • Benutzer-ID: Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
    • Kennwort: Geben Sie das dem Benutzer zugeordnete Kennwort ein.
    • Domänenalias: Geben Sie ein Alias für den Domänennamen ein.
    • Endpoint Management-Sperrlimit: Geben Sie eine Zahl zwischen 0 und 999 für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie 0 festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus Endpoint Management ausgesperrt. Die Standardeinstellung ist 0.

      Sie können auch ein Sperrlimit festlegen, das unter dem Wert in Ihrer LDAP-Sperrrichtlinie liegt. So können Sie eine Benutzersperre verhindern, wenn Endpoint Management nicht beim LDAP-Server authentifiziert werden kann. Wenn die LDAP-Sperrrichtlinie beispielsweise bei 5 Versuchen liegt, konfigurieren Sie dieses Sperrlimit auf 4 oder niedriger.

    • Endpoint Management-Sperrzeitraum: Geben Sie eine Zahl zwischen 0 und 99999 für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert 0 bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten. Der Standardwert ist 1.
    • TCP-Port für globalen Katalog: Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist 3268. Verwenden Sie für SSL-Verbindungen die Portnummer 3269.
    • Stammkontext für globalen Katalog: Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
    • Benutzersuche nach: Wählen Sie ein Format für Benutzernamen oder Benutzer-ID aus, das Endpoint Management für die Suche nach Benutzern in diesem Verzeichnis verwendet werden soll. Benutzer geben dann bei der Registrierung ihren Benutzernamen oder ihre Benutzer-ID in diesem Format ein.

      Wenn Sie userPrincipalName wählen, geben Benutzer einen Benutzerprinzipalnamen (UPN) in folgendem Format ein:

      • username@domain

      Bei Auswahl von sAMAccountName geben Benutzer einen SAM-Namen (Secure Account Manager) in einem der folgenden Formate ein:

      • username@domain
      • domain\username
    • Sichere Verbindung verwenden: Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen. Die Standardeinstellung ist NEIN.
  5. Klicken Sie auf Save.

Löschen LDAP-kompatibler Verzeichnisse

  1. Wählen Sie in der Tabelle LDAP das zu löschende Verzeichnis aus.

    Sie können mehrere zu löschende Eigenschaften auswählen, indem Sie die Kontrollkästchen daneben aktivieren.

  2. Klicken Sie auf Löschen. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie noch einmal auf Delete.

Konfigurieren der Authentifizierung mit Domäne und Sicherheitstoken

Sie können Endpoint Management konfigurieren, sodass Benutzer sich mit ihren LDAP-Anmeldeinformationen und einem Einmalkennwort authentifizieren müssen. Dabei wird das RADIUS-Protokoll verwendet.

Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Konfiguration mit der Citrix-PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.

Konfigurieren von LDAP-Einstellungen

Wenn Sie LDAP für die Authentifizierung verwenden möchten, müssen Sie ein SSL-Zertifikat von einer Zertifizierungsstelle in Endpoint Management installieren. Weitere Informationen finden Sie unter Hochladen von Zertifikaten in Endpoint Management.

  1. Klicken Sie in Einstellungen auf LDAP.

  2. Wählen Sie Microsoft Active Directory und klicken Sie auf Bearbeiten.

    LDAP-Konfigurationsbildschirm

  3. Überprüfen Sie, ob der Port auf 636 für sichere LDAP-Verbindungen oder auf 3269 für sichere Microsoft LDAP-Verbindungen festgelegt ist.

  4. Legen Sie Sichere Verbindung verwenden auf Ja fest.

    LDAP-Konfigurationsbildschirm

Konfigurieren von Citrix Gateway-Einstellungen

Für die folgenden Schritte wird angenommen, dass Sie Endpoint Management bereits eine Citrix Gateway-Instanz hinzugefügt haben. Informationen zum Hinzufügen einer Citrix Gateway-Instanz finden Sie unter Citrix Gateway und Endpoint Management.

  1. Klicken unter Einstellungen auf Citrix Gateway.

  2. Wählen Sie das Citrix Gateway und klicken Sie auf Bearbeiten.

  3. Wählen Sie unter Anmeldetyp die Option Domäne und Sicherheitstoken.

Aktivieren der Citrix-PIN und der Zwischenspeicherung von Benutzerkennwörtern

Um die Citrix-PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix-PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.

Konfigurieren von Citrix Gateway für die Authentifizierung mit Domäne und Sicherheitstoken

Konfigurieren Sie Citrix Gateway-Sitzungsprofile und Richtlinien für die virtuellen Server, die mit Endpoint Management verwendet werden. Weitere Informationen finden Sie in der Dokumentation zu Citrix Gateway.

Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken