Authentifizierung und Autorisierung

Konfigurieren der Kennwortrückgabe mit RADIUS

Sie können Domänenkennwörter durch ein einmaliges Kennwort ersetzen, das ein Token von einem RADIUS-Server generiert. Wenn sich Benutzer bei Citrix Gateway anmelden, geben sie eine persönliche Identifikationsnummer (PIN) und den Code aus dem Token ein. Nachdem Citrix Gateway ihre Anmeldeinformationen überprüft hat, gibt der RADIUS-Server das Windows-Kennwort des Benutzers an Citrix Gateway zurück. Citrix Gateway akzeptiert die Antwort vom Server und verwendet dann das zurückgegebene Kennwort für Single Sign-On, anstatt den Code zu verwenden, den Benutzer während der Anmeldung eingegeben haben. Mit dieser Kennwortrückgabe mit RADIUS-Funktion können Sie Single Sign-On konfigurieren, ohne dass Benutzer ihr Windows-Kennwort zurückrufen müssen.

Wenn sich Benutzer mit der Kennwortrückgabe anmelden, können sie auf alle zulässigen Netzwerkressourcen im internen Netzwerk zugreifen, einschließlich Citrix Endpoint Management, StoreFront und Webinterface.

Um die einmalige Anmeldung mit zurückgegebenen Kennwörtern zu aktivieren, konfigurieren Sie eine RADIUS-Authentifizierungsrichtlinie auf Citrix Gateway mit der Parameter Kennwort-Herstellerbezeichner und Kennwort-Attributtyp. Diese beiden Parameter geben das Windows-Kennwort des Benutzers an Citrix Gateway zurück.

Citrix Gateway unterstützt Imprivata OneSign. Die mindestens erforderliche Version von Imprivata OneSign ist 4.0 mit Service Pack 3. Die standardmäßige Kennwort-Herstellerkennung für Imprivata OneSign ist 398. Der Standardcode für das Kennwortattribut für Imprivata OneSign ist 5.

Sie können andere RADIUS-Server für die Kennwortrückgabe verwenden, z. B. RSA, Cisco oder Microsoft. Sie müssen den RADIUS-Server so konfigurieren, dass das Benutzereinmeldekennwort in einem herstellerspezifischen Attributwertpaar zurückgegeben wird. In einer Citrix Gateway-Authentifizierungsrichtlinie müssen Sie die Parameter Kennwort-Vendor-ID und Kennwort-Attributtyp für diese Server hinzufügen.

Eine vollständige Liste der Lieferantenkennungen finden Sie auf derInternet Assigned Numbers Authority (IANA) Website. Zum Beispiel ist die Herstellerkennung für RSA-Sicherheit 2197, für Microsoft ist es 311 und für Cisco Systems ist es 9. Das herstellerspezifische Attribut, das ein Kreditor unterstützt, muss mit dem Kreditor bestätigt werden. Microsoft hat beispielsweise eine Liste herstellerspezifischer Attribute unter veröffentlichtMicrosoft herstellerspezifische RADIUS-Attribute.

Sie können jedes der herstellerspezifischen Attribute auswählen, um das einmalige Anmeldekennwort für Benutzer auf dem RADIUS-Server des Kreditors zu speichern. Wenn Sie Citrix Gateway mit der Hersteller-ID und dem Attribut konfigurieren, in dem das Benutzerkennwort auf dem RADIUS-Server gespeichert ist, fordert Citrix Gateway den Wert des Attributs im Zugriffsanforderungspaket an, das an den RADIUS-Server gesendet wird. Wenn der RADIUS-Server mit dem entsprechenden Attributwertpaar im Access-Accept-Paket antwortet, funktioniert die Kennwortrückgabe unabhängig vom verwendeten RADIUS-Server.

So konfigurieren Sie Single Sign-On mit zurückgegebenen Kennwörtern:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration Citrix Gateway > Richtlinien > Authentifizierung.
  2. Klicken Sie im Navigationsbereich auf RADIUS.
  3. Klicken Sie im Detailbereich auf “Hinzufügen”.
  4. Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen unter Name einen Namen für die Richtlinie ein.
  5. Klicken Sie neben Server auf Neu.
  6. Geben Sie unter Name den Namen des Servers ein.
  7. Konfigurieren Sie die Einstellungen für den RADIUS-Server.
  8. Geben Sie unter Kennwort-Vendor Identifier die vom RADIUS-Server zurückgegebene Hersteller-ID ein. Dieser Bezeichner muss einen Mindestwert von 1 haben.
  9. Geben Sie unter Kennwortattributtyp den Attributtyp ein, der vom RADIUS-Server im herstellerspezifischen AVP-Code zurückgegeben wird. Der Wert kann zwischen 1 und 255 liegen.
  10. Wählen Sie im Dialogfeld Authentifizierungsrichtlinie erstellen neben Benannte Ausdrücke den Ausdruck aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
Konfigurieren der Kennwortrückgabe mit RADIUS