Authentifizierung und Autorisierung

Konfigurieren der Clientzertifikatauthentifizierung

Benutzer, die sich an einem virtuellen Citrix Gateway-Server anmelden, können auch basierend auf den Attributen des Clientzertifikats authentifiziert werden, das dem virtuellen Server vorgelegt wird. Clientzertifikatauthentifizierung kann auch mit einem anderen Authentifizierungstyp wie LDAP oder RADIUS verwendet werden, um Zwei-Faktor-Authentifizierung bereitzustellen.

Um Benutzer basierend auf den clientseitigen Zertifikatattributen zu authentifizieren, sollte die Clientauthentifizierung auf dem virtuellen Server aktiviert und das Clientzertifikat angefordert werden. Sie müssen ein Stammzertifikat an den virtuellen Server von Citrix Gateway binden.

Wenn sich Benutzer beim virtuellen Citrix Gateway-Server anmelden, werden die Benutzernameninformationen nach der Authentifizierung aus dem angegebenen Feld des Zertifikats extrahiert. In der Regel lautet dieses Feld Betreff: CN. Wenn der Benutzername erfolgreich extrahiert wurde, wird der Benutzer dann authentifiziert. Wenn der Benutzer während des SSL-Handshake (Secure Sockets Layer) kein gültiges Zertifikat bereitstellt oder die Extraktion des Benutzernamens fehlschlägt, schlägt die Authentifizierung fehl.

Sie können Benutzer basierend auf dem Clientzertifikat authentifizieren, indem Sie den Standardauthentifizierungstyp für die Verwendung des Clientzertifikats festlegen. Sie können auch eine Zertifikataktion erstellen, die definiert, was während der Authentifizierung auf der Grundlage eines Client-SSL-Zertifikats durchgeführt werden soll.

So konfigurieren Sie das Clientzertifikat als Standardauthentifizierungstyp

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungen auf Authentifizierungseinstellungen ändern.
  3. Geben Sie unter Maximale Anzahl von Benutzern die Anzahl der Benutzer ein, die mit dem Clientzertifikat authentifiziert werden können.
  4. Wählen Sie unter Standardauthentifizierungstyp die Option Zertifikat aus.
  5. Wählen Sie im Feld Benutzername den Typ des Zertifikatfelds aus, das die Benutzernamen enthält.
  6. Wählen Sie im Feld Gruppenname den Typ des Zertifikatfelds aus, das den Gruppennamen enthält.
  7. Geben Sie unter Standardautorisierungsgruppe den Namen der Standardgruppe ein, und klicken Sie dann auf OK.

Extrahieren des Benutzernamens aus dem Clientzertifikat

Wenn die Clientzertifikatauthentifizierung auf Citrix Gateway aktiviert ist, werden Benutzer basierend auf bestimmten Attributen des Clientzertifikats authentifiziert. Nachdem die Authentifizierung erfolgreich abgeschlossen wurde, werden der Benutzername oder der Benutzer- und Gruppenname des Benutzers aus dem Zertifikat extrahiert und alle für diesen Benutzer angegebenen Richtlinien angewendet.

Konfigurieren der Clientzertifikatauthentifizierung