Authentifizierung und Autorisierung

Konfigurieren von Clientzertifikaten und LDAP-Zwei-Faktor-Authentifizierung

Sie können ein sicheres Clientzertifikat mit LDAP-Authentifizierung und -Autorisierung verwenden, z. B. die Smartcard-Authentifizierung mit LDAP. Der Benutzer meldet sich an, und dann wird der Benutzername aus dem Clientzertifikat extrahiert. Das Clientzertifikat ist die primäre Form der Authentifizierung und LDAP ist das sekundäre Formular. Die Clientzertifikatauthentifizierung muss Vorrang vor der LDAP-Authentifizierungsrichtlinie haben. Wenn Sie die Priorität der Richtlinien festlegen, weisen Sie der Clientzertifikatauthentifizierungsrichtlinie eine niedrigere Zahl zu als die Nummer, die Sie der LDAP-Authentifizierungsrichtlinie zuweisen.

Um ein Clientzertifikat verwenden zu können, benötigen Sie eine Unternehmenszertifizierungsstelle (Certificate Authority, CA), z. B. Zertifikatdienste in Windows Server 2008, die auf demselben Computer ausgeführt wird, auf dem Active Directory ausgeführt wird. Sie können die Zertifizierungsstelle verwenden, um ein Clientzertifikat zu erstellen.

Um ein Clientzertifikat mit LDAP-Authentifizierung und -Autorisierung verwenden zu können, muss es sich um ein sicheres Zertifikat handeln, das SSL (Secure Sockets Layer) verwendet. Um sichere Clientzertifikate für LDAP zu verwenden, installieren Sie das Clientzertifikat auf dem Benutzergerät und installieren Sie ein entsprechendes Stammzertifikat auf Citrix Gateway.

Führen Sie vor dem Konfigurieren eines Clientzertifikats folgende Schritte aus:

  • Erstellen Sie einen virtuellen Server.
  • Erstellen Sie eine LDAP-Authentifizierungsrichtlinie für den LDAP-Server.
  • Legen Sie den Ausdruck für die LDAP-Richtlinie auf True Wert fest.

So konfigurieren Sie die Clientzertifikatauthentifizierung mit LDAP

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration Citrix Gateway > Richtlinien > Authentifizierung.
  2. Klicken Sie im Navigationsbereich unter Authentifizierung auf Zertifikat.
  3. Klicken Sie im Detailbereich auf “Hinzufügen”.
  4. Geben Sie unter “Name” einen Namen für die Richtlinie ein.
  5. Wählen Sie unter Authentifizierungstyp die Option Zertifikat aus.
  6. Klicken Sie neben Server auf Neu.
  7. Geben Sie unter Name einen Namen für den Server ein, und klicken Sie dann auf Erstellen.
  8. Geben Sie im Dialogfeld Authentifizierungsserver erstellen unter Name den Namen des Servers ein.
  9. Wählen Sie neben Zwei-Faktor-Faktor die Option ON aus.
  10. Wählen Sie im Feld Benutzername Betreff: CN aus, und klicken Sie dann auf Erstellen.
  11. Wählen Sie im Dialogfeld Authentifizierungsrichtlinie erstellen neben Benannte Ausdrücke den Wert True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

Binden Sie die Richtlinie nach dem Erstellen der Zertifikatauthentifizierungsrichtlinie an den virtuellen Server. Binden Sie nach dem Binden der Zertifikatauthentifizierungsrichtlinie die LDAP-Authentifizierungsrichtlinie an den virtuellen Server.

Wichtig: Sie müssen die Zertifikatauthentifizierungsrichtlinie an den virtuellen Server binden, bevor Sie die LDAP-Authentifizierungsrichtlinie an den virtuellen Server binden.**

To install a root certificate on Citrix Gateway

Nachdem Sie die Zertifikatauthentifizierungsrichtlinie erstellt haben, laden Sie ein Stammzertifikat von Ihrer Zertifizierungsstelle im Base64-Format herunter, installieren Sie es und speichern Sie es auf Ihrem Computer. Anschließend können Sie das Stammzertifikat auf Citrix Gateway hochladen.

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
  2. Klicken Sie im Detailbereich auf Installieren.
  3. Geben Sie unter Zertifikat - Schlüsselpaarname einen Namen für das Zertifikat ein.
  4. Klicken Sie unter Zertifikatdateiname auf Durchsuchen, und wählen Sie im Dropdown-Feld entweder Einheit oder Lokal aus.
  5. Navigieren Sie zum Stammzertifikat, klicken Sie auf Öffnen und dann auf Installieren.

So fügen Sie einem virtuellen Server ein Stammzertifikat hinzu

Fügen Sie nach der Installation des Stammzertifikats auf Citrix Gateway das Zertifikat dem Zertifikatspeicher des virtuellen Servers hinzu.

Wichtig: Wenn Sie das Stammzertifikat zum virtuellen Server für die Smartcardauthentifizierung hinzufügen, müssen Sie das Zertifikat aus dem Dropdownfeld Zertifizierungsstellenzertifikat auswählen auswählen, wie in der folgenden Abbildung dargestellt.

Abbildung 1. Hinzufügen eines Stammzertifikats als Zertifizierungsstelle

lokalisiertes Bild

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Virtuelle Server.

  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.

  3. Wählen Sie auf der Registerkarte Zertifikate unter Verfügbar das Zertifikat aus, klicken Sie im Dropdown-Feld auf als Zertifizierungsstelle, und klicken Sie dann auf OK.

  4. Wiederholen Sie Schritt 2.

  5. Klicken Sie auf der Registerkarte Zertifikate auf SSL-Parameter.

  6. Wählen Sie unter Andere die Option Clientauthentifizierung aus.

  7. Wählen Sie unter Andere neben Clientzertifikat die Option Optional aus, und klicken Sie dann zweimal auf OK.

  8. Testen Sie nach der Konfiguration des Clientzertifikats die Authentifizierung, indem Sie sich mit dem Citrix Gateway-Plug-In bei Citrix Gateway anmelden. Wenn Sie mehr als ein Zertifikat installiert haben, erhalten Sie eine Aufforderung, das richtige Zertifikat auszuwählen. Nachdem Sie das Zertifikat ausgewählt haben, wird der Anmeldebildschirm mit dem Benutzernamen angezeigt, der die Informationen aus dem Zertifikat enthält. Geben Sie das Kennwort ein, und klicken Sie dann auf Anmelden.

Wenn der richtige Benutzername im Feld Benutzername auf dem Anmeldebildschirm nicht angezeigt wird, überprüfen Sie die Benutzerkonten und Gruppen in Ihrem LDAP-Verzeichnis. Die Gruppen, die in Citrix Gateway definiert sind, müssen mit denen im LDAP-Verzeichnis übereinstimmen. Konfigurieren Sie in Active Directory Gruppen auf Domänenstammebene. Wenn Sie Active Directory-Gruppen erstellen, die sich nicht in der Domänenstammebene befinden, kann ein falsches Lesen des Clientzertifikats zur Folge haben.

Wenn sich Benutzer und Gruppen nicht auf der Domänen-Stammebene befinden, wird auf der Citrix Gateway-Anmeldeseite der Benutzername angezeigt, der in Active Directory konfiguriert ist. In Active Directory haben Sie beispielsweise den Ordner Benutzer und das Zertifikat CN = Users. Auf der Anmeldeseite wird unter Benutzername das Wort Benutzer angezeigt.

Wenn Sie Ihre Gruppen- und Benutzerkonten nicht auf die Stammdomänenebene verschieben möchten, lassen Sie beim Konfigurieren des Zertifikatauthentifizierungsservers auf Citrix Gateway das Feld Benutzername und Gruppennamenfeld leer.

Konfigurieren von Clientzertifikaten und LDAP-Zwei-Faktor-Authentifizierung