Konfigurieren von Domänen-Passthrough-Authentifizierung mit Kerberos

Dieser Abschnitt gilt nur für Verbindungen zwischen der Citrix Workspace-App für Windows und StoreFront, Citrix Virtual Apps and Desktops.

Die Citrix Workspace-App für Windows unterstützt Kerberos für Domänen-Passthrough-Authentifizierung in Bereitstellungen mit Smartcardverwendung. Kerberos ist eine der in der integrierten Windows-Authentifizierung (IWA) enthaltenen Authentifizierungsmethoden.

Bei aktivierter Kerberos-Authentifizierung handhabt Kerberos die Authentifizierung ohne Kennwörter für die Citrix Workspace-App und verhindert so trojanerartige Angriffe auf Benutzergeräte, die den Zugriff auf Kennwörter zum Ziel haben. Die Benutzer können sich mit einer beliebigen Authentifizierungsmethode anmelden und auf veröffentlichte Ressourcen zugreifen. Beispiel wäre eine biometrische Authentifizierung, etwa ein Fingerabdruckleser.

Sind Citrix Workspace-App, StoreFront sowie Citrix Virtual Apps and Desktops für die Smartcard-Authentifizierung konfiguriert, passiert bei der Anmeldung bei der Citrix Workspace-App mit einer Smartcard Folgendes:

  1. Die App erfasst die Smartcard-PIN beim Single Sign-On.
  2. Die App authentifiziert den Benutzer mit IWA (Kerberos) bei StoreFront. StoreFront stellt der Workspace-App dann Informationen zu den verfügbaren Citrix Virtual Apps and Desktops bereit.

Hinweis

Aktivieren Sie Kerberos, um eine zusätzliche PIN-Eingabeaufforderung zu vermeiden. Wird die Kerberos-Authentifizierung nicht verwendet, führt die Citrix Workspace-App mit den Smartcard-Anmeldeinformationen eine Authentifizierung bei StoreFront durch.

  1. Die HDX Engine (zuvor “ICA-Client”) übergibt die Smartcard-PIN an den VDA, um den Benutzer an der Citrix Workspace-App-Sitzung anzumelden. Citrix Virtual Apps and Desktops stellt dann die angeforderten Ressourcen bereit.

Stellen Sie zur Verwendung der Kerberos-Authentifizierung bei der Citrix Workspace-App sicher, dass für die Kerberos-Konfiguration folgenden Punkten entspricht.

  • Kerberos funktioniert nur zwischen Citrix Workspace-App und Servern, die zu denselben oder vertrauenswürdigen Windows Server-Domänen gehören. Den Servern muss außerdem für Delegierungszwecke vertraut werden, eine Option, die Sie über das Verwaltungstool Active Directory-Benutzer und -Computer konfigurieren können.
  • Kerberos muss sowohl in der Domäne als auch in Citrix Virtual Apps and Desktops aktiviert sein. Um hohe Sicherheit und die Verwendung von Kerberos zu gewährleisten, deaktivieren Sie in der Domäne alle IWA-Optionen außer Kerberos.
  • Kerberos-Anmeldung ist nicht verfügbar für Remotedesktopdienste-Verbindungen, die eine Standardauthentifizierung oder immer vorgegebene Anmeldeinformationen verwenden oder die immer zur Eingabe des Kennworts auffordern.

Warnung

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Konfigurieren der Domänen-Passthrough-Authentifizierung mit Kerberos für die Verwendung mit Smartcards

Lesen Sie die Smartcard-Informationen im Abschnitt Sichern der Bereitstellung in der Citrix Virtual Apps and Desktops-Dokumentation, bevor Sie fortfahren.

Wenn Sie die Citrix Workspace-App für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

  • /includeSSON

    Mit dieser Option wird die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer installiert, sodass der Workspace mit IWA (Kerberos) die Authentifizierung bei StoreFront durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, mit der die HDX Engine eine Remoteverbindung zwischen Smartcard-Hardware und -Anmeldeinformationen und Citrix Virtual Apps and Desktops herstellt. Citrix Virtual Apps and Desktops wählt automatisch ein Zertifikat von der Smartcard aus und ruft die PIN von der HDX Engine ab.

    Die verwandte Option ENABLE\_SSON ist standardmäßig aktiviert.

Wenn Sie Single Sign-On aufgrund einer Sicherheitsrichtlinie auf einem Gerät nicht aktivieren können, konfigurieren Sie die Citrix Workspace-App mit der administrativen Vorlage des Gruppenrichtlinienobjekts.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
  3. Wählen Sie Passthrough-Authentifizierung aktivieren.
  4. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

    lokalisiertes Bild

Konfigurieren von StoreFront:

Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie die Option “Domänen-Passthrough”. Mit dieser Einstellung wird die integrierte Windows-Authentifizierung aktiviert. Die Option “Smartcard” muss nur aktiviert werden, wenn Sie auch Clients haben, die nicht in Domänen eingebunden sind und unter Verwendung von Smartcards eine Verbindung mit StoreFront herstellen.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Konfigurieren von Domänen-Passthrough-Authentifizierung mit Kerberos