Verbundauthentifizierungsdienst

Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ist eine privilegierte Komponente für die Integration in Active Directory-Zertifikatdienste. Der Dienst stellt dynamisch Zertifikate für Benutzer aus, sodass diese sich bei einer Active Directory-Umgebung so anmelden können, als hätten sie eine Smartcard. Dadurch kann in StoreFront eine größere Bandbreite an Authentifizierungsoptionen, darunter z. B. SAML-Assertionen (Security Assertion Markup Language), verwendet werden. SAML (Security Assertion Markup Language) wird häufig als Alternative für herkömmliche Windows-Benutzerkonten im Internet verwendet.

Die folgende Abbildung zeigt das Zusammenwirken des Verbundauthentifizierungsdiensts mit einer Microsoft-Zertifizierungsstelle und die Bereitstellung entsprechender Dienste für StoreFront sowie Citrix Virtual Apps and Desktops-VDAs.

lokalisiertes Bild

Vertrauenswürdige StoreFront-Server kontaktieren den Verbundauthentifizierungsdienst (FAS), wenn Benutzer Zugriff auf die Citrix Umgebung anfordern. Der FAS stellt ein Ticket aus, mit dem eine einzelne Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung eine Authentifizierung mit einem Zertifikat für die Sitzung durchführen kann. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung mit dem FAS her und löst das Ticket aus. Nur der FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA muss jeden erforderlichen Signier- und Entschlüsselungsvorgang mit dem Zertifikat an den FAS senden.

Anforderungen

Der Verbundauthentifizierungsdienst wird unter Windows Server-Betriebssystemen (Windows Server 2008 R2 oder höher) unterstützt.

  • Citrix empfiehlt die Installation des FAS auf einem Server, der keine anderen Citrix Komponenten enthält.
  • Der Windows-Server muss geschützt werden. Er erhält Zugriff auf ein Registrierungsstellenzertifikat und einen privaten Schlüssel zur automatischen Ausstellung von Zertifikaten für die Domänenbenutzer und Zugriff auf diese Benutzerzertifikate und privaten Schlüssel.

Citrix Virtual Apps- oder Citrix Virtual Desktops-Site:

  • Die Delivery Controller müssen mindestens in Version 7.9 vorliegen.

  • Die VDAs müssen mindestens in Version 7.9 vorliegen. Vergewissern Sie sich, dass die Verbundauthentifizierungsdienst-Gruppenrichtlinienkonfiguration richtig auf die VDAs angewendet wurde, bevor Sie den Maschinenkatalog gemäß dem Standardverfahren erstellen. Einzelheiten finden Sie in dem Abschnitt zum Konfigurieren der Gruppenrichtlinien.

  • Der StoreFront-Server muss mindestens in Version 3.6 vorliegen (dies ist die im ISO-Image für XenApp-/XenDesktop 7.9 enthaltene Version).

Konsultieren Sie bei der Planung der Bereitstellung dieses Diensts den Abschnitt “Sicherheitsüberlegungen”.

Informationsquellen:

  • Active Directory-Zertifikatdienste

https://technet.microsoft.com/en-us/library/hh831740.aspx

  • Konfigurieren von Windows für die Zertifikatanmeldung

http://support.citrix.com/article/CTX206156

Reihenfolge der Schritte zur Installation und Einrichtung

  1. Installieren des Verbundauthentifizierungsdiensts
  2. Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf StoreFront-Servern
  3. Konfigurieren der Gruppenrichtlinie
  4. Verwenden Sie die Verwaltungskonsole des Verbundauthentifizierungsdiensts für folgende Aufgaben: (a) Bereitstellen der vorhandenen Vorlagen, (b) Einrichten von Zertifizierungsstellen und (c) Autorisieren des Verbundauthentifizierungsdiensts für die Verwendung der Zertifizierungsstelle.
  5. Konfigurieren von Benutzerregeln

Installieren des Verbundauthentifizierungsdiensts

Aus Sicherheitsgründen empfiehlt Citrix die Installation des FAS auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle. Der FAS kann über die Schaltfläche Verbundauthentifizierungsdienst auf dem Begrüßungsbildschirm der automatischen Ausführung beim Einfügen der ISO-Datei installiert werden.

Es werden folgende Komponenten installiert:

  • Verbundauthentifizierungsdienst
  • PowerShell-Snap-In-Cmdlets zur Remotekonfiguration des Verbundauthentifizierungsdiensts
  • Verwaltungskonsole des Verbundauthentifizierungsdiensts
  • Gruppenrichtlinienvorlagen für den Verbundauthentifizierungsdienst (CitrixFederatedAuthenticationService.admx/adml)
  • Zertifikatvorlagendateien zur einfachen Konfiguration einer Zertifizierungsstelle
  • Leistungsindikatoren und Ereignisprotokolle

Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst für einen StoreFront-Store

Zum Aktivieren der FAS-Integration auf einem StoreFront-Store führen Sie die folgenden PowerShell-Cmdlets als Administrator aus. Wenn Sie mehrere Stores haben oder der Store einen anderen Namen hat, kann der Pfad von dem unten angegebenen abweichen.

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Zum Beenden der Verwendung des FAS verwenden Sie folgendes PowerShell-Skript:

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""

Konfigurieren des Delivery Controllers

Zur Verwendung des Verbundauthentifizierungsdiensts konfigurieren Sie den Citrix Virtual Apps- oder Citrix Virtual Desktops-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm eine Verbindung herstellen können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus.

Konfigurieren der Gruppenrichtlinie

Nach der Installation des Verbundauthentifizierungsdiensts müssen Sie die vollständigen DNS-Adressen der FAS-Server in der Gruppenrichtlinie unter Verwendung der im Installationsprogramm enthaltenen Gruppenrichtlinienvorlagen angeben.

Wichtig:

Die Tickets anfordernden StoreFront-Server und die Tickets auslösenden VDAs müssen die gleiche DNS-Adresskonfiguration haben, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Der Einfachheit halber zeigen die folgenden Beispiele die Konfiguration einer Richtlinie auf Domänenebene für alle Maschinen. Dies ist jedoch nicht erforderlich. Der FAS funktioniert, wenn die Liste der DNS-Adressen für die StoreFront-Server, die VDAs und die Maschine mit der FAS-Verwaltungskonsole identisch sind. Von dem Gruppenrichtlinienobjekt wird jedem Eintrag eine Indexnummer hinzugefügt. Diese Nummern müssen, wenn mehrere Objekte verwendet werden, ebenfalls übereinstimmen.

Schritt 1. Suchen Sie auf dem Server, auf dem Sie den FAS installiert haben, die Datei C:\Programme\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und dann den Ordner “de-DE”.

lokalisiertes Bild

Schritt 2. Kopieren Sie beide auf den Domänencontroller in den Pfad C:\Windows\PolicyDefinitions.

Schritt 3: Führen Sie Microsoft Management Console (Befehlszeile: “mmc.exe”) aus. Wählen Sie auf der Menüleiste Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie nach einem Gruppenrichtlinienobjekt gefragt werden, wählen Sie Durchsuchen und dann Standarddomänenrichtlinie. Alternativ können Sie ein für Ihre Umgebung geeignetes Richtlinienobjekt mit einem Tool Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen relevante Citrix Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

lokalisiertes Bild

Schritt 4. Navigieren Sie zu der Verbundauthentifizierungsdienst-Richtlinie unter Configuration/Policies/Administrative Templates/Citrix Components/Authentication.

lokalisiertes Bild

Hinweis:

Die Einstellung der Citrix Verbundauthentifizierungsdienst-Richtlinie ist nur im Gruppenrichtlinienobjekt der Domäne verfügbar, wenn Sie die Vorlagendatei CitrixBase.admx/CitrixBase.adml in den Ordner \policyDefinitions einfügen. Die Verbundauthentifizierungsdienst-Richtlinieneinstellung wird dann im Ordner “Administrative Vorlagen> Citrix Komponenten> Authentifizierung” aufgeführt.

Schritt 5. Öffnen Sie die Verbundauthentifizierungsdienst-Richtlinie und wählen Sie Aktiviert. Dadurch wird die Schaltfläche Anzeigen wählbar, über die Sie die DNS-Adressen der FAS-Server konfigurieren.

lokalisiertes Bild

Schritt 6. Geben Sie die DNS-Adressen der Server ein, auf denen der Verbundauthentifizierungsdienst gehostet wird.

Hinweis: Wenn Sie mehrere Adressen eingeben, muss die Reihenfolge der Liste bei StoreFront-Servern und VDAs übereinstimmen. Dies gilt auch für leere bzw. nicht verwendete Listeneinträge.

Schritt 7. Klicken Sie auf OK, um den Gruppenrichtlinien-Assistenten zu beenden und die Änderungen der Gruppenrichtlinie anzuwenden. Sie müssen u. U. die Maschinen neu starten oder gpupdate /force an der Befehlszeile ausführen, damit die Änderungen wirksam werden.

Aktivieren der Unterstützung für sitzungsinterne Zertifikate

Die Gruppenrichtlinienvorlage umfasst Unterstützung zur Konfiguration des Systems für sitzungsinterne Zertifikate. Damit werden Zertifikate nach der Anmeldung eines Benutzers in dessen persönlichem Zertifikatspeicher abgelegt. Ein Zertifikat kann dann beispielsweise von Internet Explorer verwendet werden, wenn innerhalb der VDA-Sitzung eine TLS-Authentifizierung bei Webservern erforderlich ist. Standardmäßig gestatten VDAs keinen Zugriff auf Zertifikate nach der Anmeldung.

lokalisiertes Bild

Verwendung der FAS-Verwaltungskonsole

Die FAS-Verwaltungskonsole wird zusammen mit dem Verbundauthentifizierungsdienst installiert. Ein Symbol (Citrix Verbundauthentifizierungsdienst) wird in das Startmenü eingefügt.

Es wird automatisch versucht, die FAS-Server in der Umgebung mithilfe der Gruppenrichtlinie zu lokalisieren. Wenn dies fehlschlägt, konsultieren Sie den Abschnitt Konfigurieren der Gruppenrichtlinie.

lokalisiertes Bild

Wenn Ihr Benutzerkonto nicht Mitglied der Administratorengruppe auf dem Computer mit dem Verbundauthentifizierungsdienst ist, werden Sie zur Eingabe von Anmeldeinformationen aufgefordert.

lokalisiertes Bild

Bei der ersten Verwendung der Verwaltungskonsole werden Sie durch ein dreiteiliges Verfahren zum Bereitstellen von Zertifikatvorlagen, Einrichten der Zertifizierungsstelle und Autorisieren des FAS für die Verwendung der Zertifizierungsstelle geführt. Einige Schritte können auch manuell mit Tools zur Betriebssystemkonfiguration durchgeführt werden.

lokalisiertes Bild

Bereitstellen von Zertifikatvorlagen

Zur Vermeidung von Interoperabilitätsproblemen mit anderer Software bietet Citrix Verbundauthentifizierungsdienst drei eigene Zertifikatvorlagen.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Diese Vorlagen müssen bei Active Directory registriert sein. Wenn sie von der Konsole nicht gefunden werden, können Sie sie mit dem Tool Deploy certificate templates installieren. Dieses Tool muss mit einem Konto ausgeführt werden, das Administratorberechtigung für die Gesamtstruktur des Unternehmens hat.

lokalisiertes Bild

Die Konfiguration der Vorlagen ist in den XML-Dateien mit der Erweiterung “certificatetemplate”. Diese werden mit dem Verbundauthentifizierungsdienst in folgenden Pfad installiert:

C:\Programme\Citrix\Federated Authentication Service\CertificateTemplates

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie sie dem Active Directory-Administrator.

Zur manuellen Installation der Vorlagen können Sie die folgenden PowerShell-Befehle verwenden:

$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)

Einrichten von Active Directory-Zertifikatdienste

Nach Installation der Citrix Zertifikatvorlagen müssen sie auf mindestens einem Microsoft-Zertifizierungsstellenserver veröffentlicht werden. Informationen zur Bereitstellung von Active Directory-Zertifikatdienste finden Sie in der Dokumentation von Microsoft.

Wenn die Vorlagen nicht auf mindestens einem Server veröffentlicht sind, bietet das Tool zum Einrichten der Zertifizierungsstelle an, sie zu veröffentlichen. Sie müssen das Tool als Benutzer mit Berechtigung zum Verwalten der Zertifizierungsstelle ausführen.

(Zertifikatvorlagen können auch mit der Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

lokalisiertes Bild

Autorisieren des Verbundauthentifizierungsdiensts

Der letzte Schritt bei der Einrichtung über die Konsole ist die Autorisierung des Verbundauthentifizierungsdiensts. Von der Verwaltungskonsole wird die Vorlage “Citrix_RegistrationAuthority_ManualAuthorization” zum Erstellen einer Zertifikatanforderung verwendet, die dann an eine der Zertifizierungsstellen gesendet wird, die das Zertifikat veröffentlichen.

lokalisiertes Bild

Nachdem die Anforderung gesendet wurde, wird sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole angezeigt. Der Administrator der Zertifizierungsstelle muss die Anforderung ausstellen oder ablehnen, damit die Konfiguration des Verbundauthentifizierungsdiensts fortgesetzt werden kann. Die Autorisierungsanforderung wird als ausstehende Anforderung des FAS-Computerkontos angezeigt.

lokalisiertes Bild

Klicken Sie mit der rechten Maustaste auf Alle Tasks und wählen Sie für die Zertifikatanforderung Ausstellen oder Verweigern. Die FAS-Verwaltungskonsole erkennt automatisch, wenn dieser Prozess abgeschlossen ist. Er kann einige Minuten dauern.

lokalisiertes Bild

Konfigurieren von Benutzerregeln

Mit Benutzerregeln wird die Ausstellung von Zertifikaten für VDA-Anmeldungen und -Sitzungen nach Vorgabe von StoreFront autorisiert. Jede Regel legt die StoreFront-Server fest, die als vertrauenswürdig zum Anfordern von Zertifikaten gelten, die Benutzer, für die sie angefordert werden können, und die VDA-Maschinen, die sie verwenden dürfen.

Zum Abschließen der Einrichtung des Verbundauthentifizierungsdiensts muss der Administrator die Standardregel definieren, indem er in der FAS-Verwaltungskonsole zur Registerkarte “User Rules” wechselt, die Zertifizierungsstelle auswählt, in der die Vorlage “Citrix_SmartcardLogon” veröffentlicht wird, und die Liste der StoreFront-Server bearbeitet. Die Liste der VDAs enthält standardmäßig die Domänencomputer und die Liste der Benutzer die Domänenbenutzer. Die Listen können geändert werden, wenn sie nicht geeignet sind.

lokalisiertes Bild

Felder:

Certificate Authority und Certificate Template: Die Zertifizierungsstelle und Zertifikatvorlage, die zum Ausstellen von Benutzerzertifikaten verwendet wird. Dabei muss es sich um die Vorlage “Citrix_SmartcardLogon” oder eine geänderte Kopie dieser Vorlage für eine der Zertifizierungsstellen handeln, in der die Vorlage veröffentlicht ist.

Für Failover und Lastausgleich können mehrere Zertifizierungsstellen mit PowerShell-Befehlen hinzugefügt werden. Erweiterte Optionen für die Zertifikaterstellung können über die Befehlszeile und die Konfigurationsdateien festgelegt werden. Weitere Informationen finden Sie in den Abschnitten PowerShell und Hardwaresicherheitsmodule.

In-Session Certificates: Das Kontrollkästchen Available after logon steuert, ob ein Zertifikat auch als sitzungsinternes Zertifikat verwendet werden kann. Wenn das Kontrollkästchen nicht aktiviert ist, wird das Zertifikat nur für Anmeldungen oder Wiederverbindungen verwendet und der Benutzer hat nach der Authentifizierung keinen Zugriff auf das Zertifikat.

List of StoreFront servers that can use this rule: Liste der vertrauenswürdigen StoreFront-Servermaschinen, die Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anfordern dürfen. Diese Einstellung ist sicherheitsrelevant und muss mit großer Sorgfalt gewählt werden.

lokalisiertes Bild

List of VDA desktops and servers that can be logged into by this rule: Liste der VDA-Maschinen, die Benutzer über das FAS-System anmelden dürfen.

lokalisiertes Bild

List of users that StoreFront can log in using this rule: Liste der Benutzer, denen Zertifikate über den FAS ausgestellt werden dürfen.

lokalisiertes Bild

Erweiterte Verwendung

Sie können weitere Regeln mit Verweisen auf andere Zertifikatvorlagen und Zertifizierungsstellen mit anderen Eigenschaften und Berechtigungen einrichten. Diese Regeln können zur Verwendung durch andere StoreFront-Server konfiguriert werden, die ihrerseits zur Anforderung der neuen Regel nach deren Namen konfiguriert werden müssen. Standardmäßig fordert StoreFront-Anforderungen bei der Kontaktaufnahme mit dem Verbundauthentifizierungsdienst default an. Dies kann über die Optionen zur Konfiguration der Gruppenrichtlinie geändert werden.

Zum Erstellen einer neuen Zertifikatvorlage kopieren Sie die Vorlage “Citrix_SmartcardLogon” in der Microsoft-Zertifizierungsstellenkonsole, benennen Sie sie um (z. B. in “Citrix_SmartcardLogon2”) und bearbeiten Sie sie nach Bedarf. Erstellen Sie eine neue Benutzerregel, indem Sie auf Add klicken, um auf die neue Zertifikatvorlage zu verweisen.

Überlegungen zu Upgrades

  • Alle Servereinstellungen des Verbundauthentifizierungsdiensts bleiben erhalten, wenn Sie ein direktes Upgrade durchführen.
  • Führen Sie zum Upgrade des Verbundauthentifizierungsdiensts das Installationsprogramm für Virtual Apps and Desktops ausf.
  • Führen Sie vor dem Upgrade des Verbundauthentifizierungsdiensts ein Upgrade des Controllers und der VDAs (sowie anderer Kernkomponenten) auf die erforderliche Version durch.
  • Vergewissern Sie sich, dass die Konsole des Verbundauthentifizierungsdiensts geschlossen ist, bevor Sie den Dienst aktualisieren.
  • Stellen Sie sicher, dass immer mindestens ein Verbundauthentifizierungsdienst-Server verfügbar ist. Wenn kein Server mit einem für den Verbundauthentifizierungsdienst aktivierten StoreFront-Server erreichbar ist, können die Benutzer sich nicht anmelden und keine Anwendungen starten.

Sicherheitsüberlegungen

Der Verbundauthentifizierungsdienst hat ein Registrierungsstellenzertifikat, mit dem er autonom Zertifikate für die Domänenbenutzer ausstellen kann. Es ist daher wichtig, eine Sicherheitsrichtlinie zum Schutz des FAS-Servers zu entwickeln und zu implementieren und die zugehörigen Berechtigungen einzuschränken.

Delegierte Registrierungsagents

Über die Microsoft-Zertifizierungsstelle können Sie festlegen, welche Vorlagen der FAS-Server verwenden kann, und die Zahl der Benutzer, denen der FAS-Server Zertifikate ausstellen kann, limitieren.

lokalisiertes Bild

Citrix empfiehlt dringend, diese Optionen zu konfigurieren, damit der Verbundauthentifizierungsdienst nur den beabsichtigten Benutzern Zertifikate ausstellen kann. Es empfiehlt sich beispielsweise, eine Ausstellung von Zertifikaten für Benutzer in der Verwaltungsgruppe oder der Gruppe der geschützten Benutzer durch den Verbundauthentifizierungsdienst zu unterbinden.

Konfigurieren der Zugriffssteuerungsliste

Wie unter Konfigurieren von Benutzerrollen beschrieben, müssen Sie eine Liste von StoreFront-Servern konfigurieren, die als vertrauenswürdig gelten und bei der Ausstellung von Zertifikaten dem Verbundauthentifizierungsdienst Benutzeridentitäts-Assertions erstellen dürfen. Sie können außerdem festlegen, welchen Benutzern Zertifikate ausgestellt werden dürfen und bei welchen VDA-Maschinen sie sich authentifizieren können. Dies versteht sich zusätzlich zu den von Ihnen konfigurierten Active Directory- bzw. Zertifizierungsstellen-Standardsicherheitsfeatures.

Firewalleinstellungen

Für die gesamte Kommunikation mit FAS-Servern werden gegenseitig authentifizierte Kerberos-Netzwerkverbindungen gemäß Windows Communication Foundation über Port 80 verwendet.

Ereignisprotokollüberwachung

Der Verbundauthentifizierungsdienst und der VDA schreiben Informationen in das Windows-Ereignisprotokoll. Diese können zur Überwachung und Überprüfung verwendet werden. Der Abschnitt Ereignisprotokolle enthält eine Liste möglicher Ereignisprotokolleinträge.

Hardwaresicherheitsmodule

Alle privaten Schlüssel, einschließlich der Schlüssel der vom Verbundauthentifizierungsdienst ausgestellten Zertifikate, werden als nicht exportierbare private Schlüssel vom Netzwerkdienstkonto gespeichert. Der Verbundauthentifizierungsdienst unterstützt die Verwendung eines kryptographischen Hardwaresicherheitsmoduls, sollte eine Sicherheitsrichtlinie dies erfordern.

Eine detaillierte Kryptographiekonfiguration ist über die Datei FederatedAuthenticationService.exe.config verfügbar. Diese Einstellungen gelten für die Ersterstellung privater Schlüssel. Daher können verschiedene Einstellungen für private Registrierungsstellenschlüssel (z. B. 4096 Bit, TPM-geschützt) und Laufzeit-Benutzerzertifikate verwendet werden.

Parameter Beschreibung
ProviderLegacyCsp Bei der Einstellung “true” verwendet der FAS die Microsoft CryptoAPI (CAPI). Andernfalls verwendet der FAS die Microsoft Cryptography Next Generation-API (CNG).
ProviderName Name des CAPI- oder CNG-Anbieters, der verwendet werden soll.
ProviderType Bezieht sich auf Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Muss immer 24 lauten, es sei denn, Sie verwenden ein HSM mit CAPI und der HSM-Hersteller hat eine andere Spezifikation.
KeyProtection Steuert das Flag “Exportable” privater Schlüssel. Ermöglicht außerdem die Verwendung eines TPM-Schlüsselspeichers (Trusted Platform Module), wenn die Hardware dies unterstützt.
KeyLength Schlüssellänge privater RSA-Schlüssel. Zulässige Werte sind 1024, 2048 und 4096 (Standard = 2048).

PowerShell SDK

Die Verwaltungskonsole des Verbundauthentifizierungsdiensts eignet sich für einfache Bereitstellungen, während die PowerShell erweiterte Optionen bietet. Wenn Sie mit Optionen arbeiten, die in der Konsole nicht verfügbar sind, empfiehlt Citrix, ausschließlich PowerShell für die Konfiguration zu verwenden.

Mit dem folgenden Befehl werden die PowerShell-Cmdlets hinzugefügt:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

In einem PowerShell-Fenster können Sie Get-Help <cmdlet-name> verwenden um die Cmdlet-Hilfe anzuzeigen. Die folgende Tabelle enthält einige Befehle, wobei * für das standardmäßige PowerShell-Verb (New, Get, Set, Remove usw.) steht.

Befehle Übersicht
*-FasServer Zum Auflisten und Umkonfigurieren der FAS-Server in der aktuellen Umgebung
*-FasAuthorizationCertificate Zum Verwalten des Registrierungsstellenzertifikats
*-FasCertificateDefinition Zum Steuern der Parameter, die vom FAS beim Generieren von Zertifikaten verwendet werden
*-FasRule Zum Verwalten der für den Verbundauthentifizierungsdienst konfigurierten Benutzerregeln
*-FasUserCertificate Zum Auflisten und Verwalten der vom Verbundauthentifizierungsdienst zwischengespeicherten Zertifikate

PowerShell-Cmdlets können remote unter Angabe der Adresse eines FAS-Servers verwendet werden.

Sie können auch eine ZIP-Datei mit allen Cmdlet-Hilfedateien des PowerShell SDKs für FAS herunterladen. Weitere Informationen finden Sie im Artikel zum PowerShell SDK.

Leistungsindikatoren

Der Verbundauthentifizierungsdienst enthält eine Reihe von Leistungsindikatoren zur Lastnachverfolgung.

lokalisiertes Bild

In der folgenden Tabelle werden die Leistungsindikatoren aufgelistet. Die meisten Leistungsindikatoren sind gleitende Mittelwerte über fünf Minuten.

Name Beschreibung
Aktive Sitzungen Anzahl der Verbindungen, die vom Verbundauthentifizierungsdienst nachverfolgt werden
Simultane SCSRs Anzahl der gleichzeitig verarbeiteten Zertifikatanforderungen
Privater-Schlüssel-Vorgänge Anzahl der pro Minute für private Schlüssel durchgeführten Vorgänge
Request time Länge der beim Generieren und Signieren eines Zertifikats verstrichenen Zeit
Certificate Count Anzahl der im Verbundauthentifizierungsdienst zwischengespeicherten Zertifikate
CSR per minute Anzahl der pro Minute verarbeiteten Zertifikatsignieranforderungen
Low/Medium/High Schätzung der Last, die der Verbundauthentifizierungsdienst in Form von Zertifikatsignieranforderungen pro Minute übernehmen kann. Bei Überschreitung des Schwellenwerts für “High Load” können Sitzungsstarts fehlschlagen.

Ereignisprotokolle

Die folgenden Tabellen enthalten die vom Verbundauthentifizierungsdienst generierten Ereignisprotokolleinträge.

Verwaltungsereignisse

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden bei einer Konfigurationsänderung des Verbundauthentifizierungsdienst-Servers protokolliert.

Protokollcodes
[S001] ACCESS DENIED: User [{0}] is not a member of Administrators group
[S002] ACCESS DENIED: User [{0}] is not an Administrator of Role [{1}]
[S003] Administrator [{0}] setting Maintenance Mode to [{1}]
[S004] Administrator [{0}] enrolling with CA [{1}] templates [{2} and {3}]
[S005] Administrator [{0}] de-authorizing CA [{1}]
[S006] Administrator [{0}] creating new Certificate Definition [{1}]
[S007] Administrator [{0}] updating Certificate Definition [{1}]
[S008] Administrator [{0}] deleting Certificate Definition [{1}]
[S009] Administrator [{0}] creating new Role [{1}]
[S010] Administrator [{0}] updating Role [{1}]
[S011] Administrator [{0}] deleting Role [{1}]
[S012] Administrator [{0}] creating certificate [upn: {0} sid: {1} role: {2}][Certificate Definition: {3}]
[S013] Administrator [{0}] deleting certificates [upn: {0} role: {1} Certificate Definition: {2}]
Logcodes
[S401] Performing configuration upgrade – [From version {0}][to version {1}]
[S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [currently running as: {0}]
[S404] Forcefully erasing the Citrix Federated Authentication Service database
[S405] An error occured while migrating data from the registry to the database: [\{0\}]
[S406] Migration of data from registry to database is complete (note: user certificates are not migrated)
[S407] Registry-based data was not migrated to a database since a database already existed

Erstellen von Identitäts-Assertions [Verbundauthentifizierungsdienst]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem vertrauenswürdigen Server eine Assertion für eine Benutzeranmeldung erstellt wird.

Protokollcodes
[S101] Server [{0}] is not authorized to assert identities in role [{1}]
[S102] Server [{0}] failed to assert UPN [{1}] (Exception: {2}{3})
[S103] Server [{0}] requested UPN [{1}] SID {2}, but lookup returned SID {3}
[S104] Server [{0}] failed to assert UPN [{1}] (UPN not allowed by role [{2}])
[S105] Server [{0}] issued identity assertion [upn: {0}, role {1}, Security Context: [{2}]
[S120] Issuing certificate to [upn: {0} role: {1} Security Context: [{2}]]
[S121] Issuing certificate to [upn: {0} role: {1}] on behalf of account {2}
[S122] Warning: Server is overloaded [upn: {0} role: {1}][Requests per minute {2}].

Agieren als vertrauende Seite [Verbundauthentifizierungsdienst]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem VDA ein Benutzer angemeldet wird.

Logcodes
[S201] Relying party [{0}] does not have access to a password.
[S202] Relying party [{0}] does not have access to a certificate.
[S203] Relying party [{0}] does not have access to the Logon CSP
[S204] Relying party [{0}] accessing the Logon CSP [Operation: {1}]
[S205] Calling account [{0}] is not a relying party in role [{1}]
[S206] Calling account [{0}] is not a relying party
[S207] Relying party [{0}] asserting identity [upn: {1}] in role: [{2}]
[S208] Private Key operation failed [Operation: {0}][upn: {1} role: {2} certificateDefinition {3}][Error {4} {5}].

In-session certificate server [Verbundauthentifizierungsdienst]

Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein sitzungsinternes Zertifikat verwendet.

Protokollcodes
[S301] Access Denied: User [{0}] does not have access to a Virtual Smart Card
[S302] User [{0}] requested unknown Virtual Smart Card [thumbprint: {1}]
[S303] User [{0}] does not match Virtual Smart Card [upn: {1}]
[S304] User [{1}] running program [{2}] on computer [{3}] using Virtual Smart Card [upn: {4} role: {5}] for private key operation: [{6}]
[S305] Private Key operation failed [Operation: {0}][upn: {1} role: {2} containerName {3}][Error {4} {5}].

Anmeldung [VDA]

[Ereignisquelle: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden bei der Anmeldung auf dem VDA protokolliert.

Protokollcodes
[S101] Identity Assertion Logon failed. Unrecognised Federated Authentication Service [id: {0}]
[S102] Identity Assertion Logon failed. Could not lookup SID for {0} [Exception: {1}{2}]
[S103] Identity Assertion Logon failed. User {0} has SID {1}, expected SID {2}
[S104] Identity Assertion Logon failed. Failed to connect to Federated Authentication Service: {0} [Error: {1} {2}]
[S105] Identity Assertion Logon. Logging in [Username: {0}][Domain: {1}]
[S106] Identity Assertion Logon. Logging in [Certificate: {0}]
[S107] Identity Assertion Logon failed. [Exception: {1}{2}]
[S108] Identity Assertion Subsystem. ACCESS_DENIED [Caller: {0}]

Sitzungsinterne Zertifikate [VDA]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein sitzungsinternes Zertifikat zu verwenden.

Protokollcodes
[S201] Virtual Smart Card Authorized [User: {0}][PID: {1} Name:{2}][Certificate {3}]
[S202] Virtual Smart Card Subsystem. No smart cards available in session {0}
[S203] Virtual Smart Card Subsystem. Access Denied [caller: {0}, session {1}, expected: {2}]
[S204] Virtual Smart Card Subsystem. Smart card support disabled.

Zertifikatsanforderung und -generierung [Verbundauthentifizierungsdienst]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Detailereignisse werden protokolliert, wenn der FAS-Server kryptographische Vorgänge auf Protokollebene durchführt.

Logcodes
[S11001]TrustArea::TrustArea: Installed certificate chain
[S11002]TrustArea::Join: Callback has authorized an untrusted certificate
[S11003]TrustArea::Join: Joining to a trusted server
[S11004]TrustArea::Maintain: Renewed certificate
[S11005]TrustArea::Maintain: Retrieved new certificate chain
[S11006]TrustArea::Export: Exporting private key
[S11007]TrustArea::Import: Importing Trust Area
[S11008]TrustArea::Leave: Leaving Trust Area
[S11009]TrustArea::SecurityDescriptor: Setting Security Descriptor
[S11010]CertificateVerification: Installing new trusted certificate
[S11011]CertificateVerification: Uninstalling expired trusted certificate
[S11012]TrustFabricHttpClient: Attempting single sign-on to {0}
[S11013]TrustFabricHttpClient: Explicit credentials entered for {0}
[S11014]Pkcs10Request::Create: Created PKCS10 request
[S11015]Pkcs10Request::Renew: Created PKCS10 request
[S11016]PrivateKey::Create
[S11017]PrivateKey::Delete
[S11018]TrustArea::TrustArea: Waiting for Approval
[S11019]TrustArea::Join: Delayed Join
[S11020]TrustArea::Join: Delayed Join
[S11021]TrustArea::Maintain: Installed certificate chain
Logcodes
[S0101]TrustAreaServer::Create root certificate
[S0102]TrustAreaServer::Subordinate: Join succeeded
[S0103]TrustAreaServer::PeerJoin: Join succeeded
[S0104]MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0}
[S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0}
[S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Issued cert {0}
[S0106]MicrosoftCertificateAuthority::PublishCRL: Published CRL
[S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0}
[S0108]MicrosoftCertificateAuthority::ReissueCertificate Issued Cert {0}
[S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest - Still waiting for approval
[S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest - Pending certificate refused
[S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest Issued certificate
[S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest - Waiting for approval
[S0120]NativeCertificateAuthority::SubmitCertificateRequest Issued cert {0}
[S0121]NativeCertificateAuthority::SubmitCertificateRequest Error
[S0122]NativeCertificateAuthority::RootCARollover New root certificate
[S0123]NativeCertificateAuthority::ReissueCertificate New certificate
[S0124]NativeCertificateAuthority::RevokeCertificate
[S0125]NativeCertificateAuthority::PublishCRL

Verwandte Informationen