Installation und Konfiguration

Reihenfolge der Schritte zur Installation und Einrichtung

  1. Installieren des Verbundauthentifizierungsdiensts (FAS)
  2. Aktivieren des FAS-Plug-Ins für StoreFront-Stores
  3. Konfigurieren des Delivery Controllers
  4. Konfigurieren der Gruppenrichtlinie
  5. Verwenden Sie die FAS-Verwaltungskonsole für Folgendes:
    1. Bereitstellen von Zertifikatvorlagen
    2. Einrichten von Zertifizierungsstellen
    3. Autorisierte Verwendung Ihrer Zertifizierungsstellen durch den FAS
    4. Konfigurieren von Regeln
    5. Verbinden des FAS mit Citrix Cloud (optional)

Installieren des Verbundauthentifizierungsdiensts

Aus Sicherheitsgründen empfiehlt Citrix die Installation des Verbundauthentifizierungsdiensts (FAS) auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle. Der FAS kann folgendermaßen installiert werden:

  • Mit dem Citrix Virtual Apps and Desktops-Installationsprogramm (über die Schaltfläche Verbundauthentifizierungsdienst auf dem Begrüßungsbildschirm der automatischen Ausführung, wenn die ISO-Datei eingefügt wird) oder
  • Mit der eigenständigen FAS-Installationsdatei (verfügbar als MSI-Datei unter Citrix Downloads).

Es werden folgende Komponenten installiert:

Aktualisieren des Verbundauthentifzierungsdiensts

Sie können den FAS über ein direktes Upgrade aktualisieren. Berücksichtigen Sie vor dem Upgrade Folgendes:

  • Alle FAS-Servereinstellungen bleiben erhalten, wenn Sie ein direktes Upgrade durchführen.
  • Stellen Sie sicher, dass die FAS-Verwaltungskonsole geschlossen ist, bevor Sie den FAS aktualisieren.
  • Stellen Sie sicher, dass stets mindestens ein FAS-Server verfügbar ist. Wenn kein Server mit einem für den Verbundauthentifizierungsdienst aktivierten StoreFront-Server erreichbar ist, können die Benutzer sich nicht anmelden und keine Anwendungen starten.

Um ein Upgrade zu starten, installieren Sie den FAS mit dem Citrix Virtual Apps and Desktops-Installationsprogramm oder mit der eigenständigen FAS-Installationsdatei.

Aktivieren des FAS-Plug-Ins für StoreFront-Stores

Hinweis:

Dieser Schritt ist nicht erforderlich, wenn Sie den FAS nur mit Citrix Cloud verwenden.

Zum Aktivieren der FAS-Integration auf einem StoreFront-Store führen Sie als Administrator folgende PowerShell-Cmdlets aus. Wenn der Store einen anderen Namen hat, ändern Sie $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Zum Beenden der Verwendung des FAS verwenden Sie folgendes PowerShell-Skript:

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Konfigurieren des Delivery Controllers

Hinweis:

Dieser Schritt ist nicht erforderlich, wenn Sie den FAS nur mit Citrix Cloud verwenden.

Zur Verwendung des FAS konfigurieren Sie den Citrix Virtual Apps- oder Citrix Virtual Desktops-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm verbunden werden können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus. Dies muss pro Site nur einmal durchgeführt werden, unabhängig von der Anzahl der Delivery Controller in der Site.

Konfigurieren der Gruppenrichtlinie

Nach der FAS-Installation müssen Sie die vollqualifizierten Domänennamen (FQDN) der FAS-Server in der Gruppenrichtlinie angeben und hierfür die im Installationsprogramm enthaltenen Gruppenrichtlinienvorlagen verwenden.

Wichtig:

Die Tickets anfordernden StoreFront-Server und die Tickets auslösenden Virtual Delivery Agents (VDAs) müssen die gleiche FQDN-Konfiguration haben, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Der Einfachheit halber zeigen die folgenden Beispiele die Konfiguration einer Richtlinie auf Domänenebene für alle Maschinen. Dies ist jedoch nicht erforderlich. Der FAS funktioniert, wenn die Liste der FQDNs für die StoreFront-Server, die VDAs und die Maschine mit der FAS-Verwaltungskonsole identisch sind. Siehe Schritt 6.

Schritt 1. Suchen Sie auf dem Server, auf dem Sie den FAS installiert haben, die Dateien C:\Programme\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und CitrixBase.admx und den Ordner “de-DE”.

Lokalisiertes Bild

Schritt 2. Kopieren Sie diese auf die Domänencontroller in den Pfad C:\Windows\PolicyDefinitions.

Schritt 3. Führen Sie Microsoft Management Console (Befehlszeile: “mmc.exe”) aus. Wählen Sie auf der Menüleiste Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie nach einem Gruppenrichtlinienobjekt gefragt werden, wählen Sie Durchsuchen und dann Standarddomänenrichtlinie. Alternativ können Sie ein für Ihre Umgebung geeignetes Richtlinienobjekt mit einem Tool Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen relevante Citrix Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

Lokalisiertes Bild

Schritt 4. Navigieren Sie zur Richtlinie Verbundauthentifizierungsdienst (Federated Authentication Service) unter Configuration/Policies/Administrative Templates/Citrix Components/Authentication.

Authentifizierungsvorlagen.

Hinweis:

Die Einstellung der Verbundauthentifizierungsdienst-Richtlinie ist nur im Gruppenrichtlinienobjekt der Domäne verfügbar, wenn Sie die Vorlagendatei CitrixBase.admx/CitrixBase.adml in den Ordner PolicyDefinitions einfügen. Nach Schritt 3 wird die Richtlinieneinstellung für den Verbundauthentifizierungsdienst im Ordner “Administrative Vorlagen > Citrix Komponenten > Authentifizierung” aufgeführt.

Schritt 5. Öffnen Sie die Verbundauthentifizierungsdienst-Richtlinie und wählen Sie Aktiviert. Dadurch wird die Schaltfläche Anzeigen wählbar, über die Sie die FQDNs der FAS-Server konfigurieren.

FQDNs.

Schritt 6. Geben Sie die FQDNs der FAS-Server ein.

Wichtig:

Wenn Sie mehrere FQDNs eingeben, muss die Reihenfolge der Liste für VDAs, StoreFront-Server (falls vorhanden) und FAS-Server übereinstimmen. Siehe Gruppenrichtlinieneinstellungen.

Schritt 7. Klicken Sie auf OK, um den Gruppenrichtlinien-Assistenten zu beenden und die Änderungen der Gruppenrichtlinie anzuwenden. Sie müssen u. U. die Maschinen neu starten oder gpupdate /force an der Befehlszeile ausführen, damit die Änderungen wirksam werden.

In-session Behavior

Diese Richtlinie aktiviert einen Agentprozess in der VDA-Sitzung des Benutzers, der sitzungsinterne Zertifikate, Zustimmung und Trennung bei Sperre unterstützt. Sitzungsinterne Zertifikate sind nur verfügbar, wenn diese Richtlinie aktiviert ist und wenn die zum Erstellen des Zertifikats verwendete FAS-Regel die sitzungsinterne Nutzung gestattet, siehe Konfigurieren von Regeln.

In-session Behavior.

Enable aktiviert diese Richtlinie und ermöglicht die Ausführung eines FAS-Agentprozesses in der VDA-Sitzung des Benutzers.

Disable deaktiviert die Richtlinie und stoppt die Ausführung des FAS-Agentprozesses.

Prompt Scope

Wenn diese Richtlinie aktiviert ist, steuert Prompt Scope, wie Benutzer aufgefordert werden zuzustimmen, damit eine Anwendung ein sitzungsinternes Zertifikat verwenden kann. Es gibt drei Optionen:

  • No consent required: Diese Option deaktiviert die Sicherheitsaufforderung und private Schlüssel werden im Hintergrund verwendet.
  • Per-process consent: Für jedes laufende Programm ist die separate Zustimmung erforderlich.
  • Per-session consent: Sobald der Benutzer auf OK klickt, gilt die Zustimmung für alle Programme in der Sitzung.

Wenn diese Richtlinie aktiviert ist, definiert Consent Timeout, wie lange die Zustimmung gültig ist (in Sekunden). Bei einer Gültigkeit von 300 Sekunden müssen Benutzer beispielsweise alle fünf Minuten neu zustimmen. Beim Wert Null müssen Benutzer bei jedem Privatschlüsselvorgang zustimmen.

Trennen beim Sperren

Wenn diese Richtlinie aktiviert ist, wird die Sitzung des Benutzers automatisch getrennt, wenn der Bildschirm gesperrt wird. Diese Funktionalität bietet ein ähnliches Verhalten wie die Richtlinie “Trennen beim Entfernen von Smartcards” und ist nützlich für Situationen, in denen Benutzer keine Active Directory Anmeldeinformationen haben.

Hinweis:

Die Richtlinie zum Trennen der Verbindung beim Sperren gilt für alle Sitzungen auf dem VDA.

Verwendung der FAS-Verwaltungskonsole

Hinweis:

Die FAS-Verwaltungskonsole eignet sich für die meisten Bereitstellungen, während die PowerShell erweiterte Optionen bietet. Informationen zu den FAS-PowerShell-Cmdlets finden Sie unter PowerShell-Cmdlets.

Die FAS-Verwaltungskonsole wird als Teil des FAS installiert. Ein Symbol (Citrix Verbundauthentifizierungsdienst) wird in das Startmenü eingefügt.

Bei der ersten Verwendung der Verwaltungskonsole werden Sie durch ein Verfahren zum Bereitstellen von Zertifikatvorlagen, Einrichten der Zertifizierungsstelle und Autorisieren des FAS für die Verwendung der Zertifizierungsstelle geführt. Einige Schritte können auch manuell mit Tools zur Betriebssystemkonfiguration durchgeführt werden.

Die FAS-Verwaltungskonsole stellt standardmäßig eine Verbindung zum On-Premises-Verbundauthentifizierungsdienst her. Bei Bedarf können Sie über Connect to another Server rechts oben in der Konsole eine Verbindung zu einem Remotedienst herstellen.

Lokalisiertes Bild

Bereitstellen von Zertifikatvorlagen

Zur Vermeidung von Interoperabilitätsproblemen mit anderer Software bietet der FAS drei eigene Citrix Zertifikatvorlagen.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Diese Vorlagen müssen bei Active Directory registriert sein. Klicken Sie auf die Schaltfläche Deploy und dann auf OK.

Lokalisiertes Bild

Die Konfiguration der Vorlagen ist in den XML-Dateien mit der Erweiterung “certificatetemplate” zu finden. Diese werden mit dem FAS in folgenden Pfad installiert:

C:\Programme\Citrix\Federated Authentication Service\CertificateTemplates

Ordner für Zertifikatvorlagen.

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie sie dem Active Directory-Administrator.

Zur manuellen Installation der Vorlagen können Sie die folgenden PowerShell-Befehle verwenden, die sich im Ordner mit den Vorlagen befinden:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Einrichten von Active Directory-Zertifikatdienste

Nach Installation der Citrix Zertifikatvorlagen müssen sie auf mindestens einem Microsoft Enterprise-Zertifizierungsstellenserver veröffentlicht werden. Informationen zur Bereitstellung von Active Directory-Zertifikatdienste finden Sie in der Dokumentation von Microsoft.

Wenn die Vorlagen nicht auf mindestens einem Server veröffentlicht sind, können Sie sie mit Set Up Certificate Authority veröffentlichen. Sie müssen dies als Benutzer mit Berechtigung zum Verwalten der Zertifizierungsstelle ausführen.

(Zertifikatvorlagen können auch mit der Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

Lokalisiertes Bild

Autorisieren des Verbundauthentifizierungsdiensts

Dieser Schritt leitet die Autorisierung des FAS ein. Von der Verwaltungskonsole wird die Vorlage “Citrix_RegistrationAuthority_ManualAuthorization” zum Erstellen einer Zertifikatanforderung verwendet, die dann an eine der Zertifizierungsstellen gesendet wird, die das Zertifikat veröffentlichen.

Lokalisiertes Bild

Nachdem die Anforderung gesendet wurde, wird sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole als ausstehende Anforderung des FAS-Maschinenkontos angezeigt. Der Administrator der Zertifizierungsstelle muss die Anforderung ausstellen oder ablehnen, damit die Konfiguration des FAS fortgesetzt werden kann.

Die FAS-Verwaltungskonsole zeigt ein Drehfeld an, bis der Administrator Ausstellen oder Verweigern wählt.

Klicken Sie in der Konsole der Microsoft-Zertifizierungsstelle mit der rechten Maustaste auf Alle Tasks und wählen Sie für die Zertifikatsanforderung Ausstellen oder Verweigern. Wenn Sie Ausstellen wählen, zeigt die FAS-Verwaltungskonsole das Autorisierungszertifikat an. Wenn Sie Verweigern wählen, zeigt die Konsole eine Fehlermeldung an.

Lokalisiertes Bild

Die FAS-Verwaltungskonsole erkennt automatisch, wenn dieser Prozess abgeschlossen ist. Er kann einige Minuten dauern.

Lokalisiertes Bild

Konfigurieren von Regeln

Der Verbundauthentifizierungsdienst (FAS) verwendet Regeln, um die Ausstellung von Zertifikaten für VDA-Anmeldungen und -Sitzungen nach Vorgabe von StoreFront zu autorisieren. Jede Regel legt die StoreFront-Server fest, die als vertrauenswürdig zum Anfordern von Zertifikaten gelten, die Benutzer, für die sie angefordert werden können, und die VDA-Maschinen, die sie verwenden dürfen.

Der FAS erfordert mindestens eine erstellte und konfigurierte Regel. Wir empfehlen, dass Sie eine Regel mit dem Namen “default” erstellen, da StoreFront bei der Kontaktaufnahme mit dem FAS standardmäßig die Regel “default” anfordert.

Sie können zusätzliche benutzerdefinierte Regeln erstellen, um auf verschiedene Zertifikatvorlagen und Zertifizierungsstellen zu verweisen und für sie unterschiedliche Eigenschaften und Berechtigungen zu konfigurieren. Diese Regeln können für die Verwendung durch verschiedene StoreFront-Server oder von Workspace konfiguriert werden. Konfigurieren Sie die StoreFront-Server so, dass die benutzerdefinierte Regel über den Namen angefordert wird. Verwenden Sie dazu die Konfigurationsoptionen für die Gruppenrichtlinien.

Klicken Sie auf der Registerkarte “Rules” auf Create (oder Create Rules), um den Assistenten zur Regelerstellung zu starten, der Informationen zum Erstellen der Regel sammelt. Die Registerkarte “Rules” zeigt eine Zusammenfassung der einzelnen Regeln.

Lokalisiertes Bild

Folgende Informationen werden vom Assistenten erfasst:

Template: Die Zertifikatvorlage, die zum Ausstellen von Benutzerzertifikaten verwendet wird. Dies sollte die Vorlage Citrix_SmartcardLogon oder eine modifizierte Kopie sein (siehe Zertifikatvorlagen).

Certificate Authority: Die Zertifizierungsstelle, die Benutzerzertifikate ausstellt. Die Vorlage muss von der Zertifizierungsstelle veröffentlicht werden. Für Failover und Lastausgleich können mehrere Zertifizierungsstellen hinzugefügt werden. Stellen Sie sicher, dass der Status für die gewählte Zertifizierungsstelle “Template available” anzeigt. Siehe Zertifizierungsstellenverwaltung.

In-Session Use: Mit der Option Allow in-session use legen Sie fest, ob ein Zertifikat nach der Anmeldung am VDA verwendet werden kann.

  • Allow in-session use nicht ausgewählt (Standardeinstellung, empfohlen): Das Zertifikat wird nur für das Anmelden oder Wiederverbinden verwendet, und Benutzer haben nach der Authentifizierung keinen Zugriff auf das Zertifikat.
  • Allow in-session use ist ausgewählt: Benutzer haben nach der Authentifizierung Zugriff auf das Zertifikat. Die meisten Kunden sollten diese Option nicht wählen. Auf Ressourcen wie Intranet-Websites oder Datenfreigaben, auf die innerhalb der VDA-Sitzung zugegriffen wird, kann mit Kerberos Single Sign-On zugegriffen werden. Daher ist hier kein sitzungsinternes Zertifikat erforderlich.

    Wenn Sie Allow in-session use auswählen, muss die Gruppenrichtlinie In-session Behavior auch aktiviert und auf den VDA angewendet werden. Zertifikate werden dann nach der Anmeldung eines Benutzers in dessen persönlichem Zertifikatspeicher abgelegt. Ein Zertifikat kann dann beispielsweise von Internet Explorer verwendet werden, wenn innerhalb der VDA-Sitzung eine TLS-Authentifizierung bei Webservern erforderlich ist.

Access control: Liste der vertrauenswürdigen StoreFront-Servermaschinen, die Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anfordern dürfen. Für all diese Berechtigungen können Sie einzelne AD-Objekte oder Gruppen hinzufügen.

Wichtig:

Die Einstellung Access control ist sicherheitsrelevant und muss mit großer Sorgfalt gewählt werden.

Hinweis:

Wenn Sie den FAS-Server nur mit Citrix Cloud verwenden, müssen Sie “Access control” nicht konfigurieren. Wenn eine Regel von Citrix Cloud verwendet wird, werden die StoreFront-Zugriffsberechtigungen ignoriert. Sie können dieselbe Regel mit Citrix Cloud und mit einer On-Premises-StoreFront-Bereitstellung verwenden. StoreFront-Zugriffsberechtigungen werden auch dann angewendet, wenn die Regel von einem On-Premises-StoreFront genutzt wird.

Die Standardberechtigung (“Assert Identity” zugelassen) verweigert alles. Daher müssen Sie Ihre Storefront-Server explizit zulassen.

Lokalisiertes Bild

Restrictions: Liste der VDA-Maschinen, die Benutzer über den FAS anmelden können, und die Liste der Benutzer, für die Zertifikate über den FAS ausgestellt werden können.

  • Mit Manage VDA permissions können Sie angeben, auf welchen VDAs Benutzer sich über den FAS anmelden können. Die Liste der VDAs wird standardmäßig auf “Domain Computers” festgelegt.

  • Mit Manage user permissions können Sie angeben, welche Benutzer sich über den FAS bei einem VDA anmelden können. Die Liste der Benutzer wird standardmäßig auf “Domain Users” festgelegt.

Lokalisiertes Bild

Lokalisiertes Bild

Cloud rule: Gibt an, ob die Regel angewendet wird, wenn Identitätsassertions von Citrix Workspace empfangen werden. Wenn Sie eine Verbindung mit Citrix Cloud herstellen, wählen Sie aus, welche Regel für Citrix Cloud zu verwenden ist. Nach dem Verbinden mit Citrix Cloud können Sie die Regel auch über einen Link im Abschnitt Connect to Citrix Cloud ändern.

Lokalisiertes Bild

Herstellen einer Verbindung mit Citrix Cloud

Sie können den FAS-Server über Citrix Workspace mit Citrix Cloud verbinden. Weitere Informationen bietet dieser Citrix Workspace Artikel.

  1. Klicken Sie auf der Registerkarte für die Ersteinrichtung unter Connect to Citrix Cloud auf Connect.

    Dialogfeld zur Verbindung mit Cloud.

  2. Klicken Sie auf Sign in to Citrix Cloud und melden Sie sich bei Citrix Cloud an. Verwenden Sie hierfür die Administratoranmeldeinformationen für den Cloud-Kunden, mit dem Sie sich verbinden.

    Cloud-Kunde und Cloud-Ressource.

  3. Wählen Sie ggf. das Kundenkonto und dann den Ressourcenstandort, an dem Sie den FAS-Server verbinden möchten. Klicken Sie auf Continue und schließen Sie das Bestätigungsfenster.

    Cloud-Anmeldedialogfenster.

  4. Wählen Sie in der FAS-Verwaltungskonsole eine Regel, die angewendet werden soll, wenn Identitätsassertions von Citrix Workspace empfangen werden, oder wählen Sie Create a rule, wenn dieser Assistent abgeschlossen ist. (Auf der Registerkarte “Rules” wird für “Cloud rule” für die von Ihnen ausgewählte oder erstellte Regel der Wert “Ja” angezeigt.)
  5. Klicken Sie auf der Registerkarte “Summary” auf Finish, um die Citrix Cloud-Verbindung herzustellen.

Citrix Cloud registriert den FAS-Server und zeigt ihn in Ihrem Citrix Cloud-Konto auf der Seite “Ressourcenstandorte” an.

Trennen der Verbindung mit Citrix Cloud

Nachdem Sie den FAS-Server wie in diesem Citrix Workspace-Artikel beschrieben aus Ihrem Citrix Cloud-Ressourcenstandort entfernt haben, wählen Sie unter Connect to Citrix Cloud den Befehl Disable.

Sicherheitsüberlegungen

Der FAS hat ein RA-Zertifikat, mit dem er selbständig Zertifikate für Ihre Domänenbenutzer ausstellen kann. Es ist daher wichtig, eine Sicherheitsrichtlinie zum Schutz des FAS-Servers zu implementieren und die zugehörigen Berechtigungen einzuschränken.

Delegierte Registrierungsagents

FAS stellt Benutzerzertifikate als Registrierungsagent aus. Mit der Microsoft-Zertifizierungsstelle können Sie Registrierungsagents, Zertifikatvorlagen und Benutzer einschränken, für die Registrierungsagents Zertifikate ausstellen können.

Registrierungsagents (Dialogfeld)

In diesem Dialogfeld können Sie Folgendes sicherstellen:

  • Die Liste der Registrierungsagents enthält nur FAS Server.
  • Die Liste der Zertifikatvorlagen enthält nur die FAS-Vorlagen.
  • Die Liste der Berechtigungen enthält nur Benutzer, die FAS verwenden dürfen. Es empfiehlt sich beispielsweise, die Ausstellung von Zertifikaten für Benutzer in der Verwaltungsgruppe oder der Gruppe der geschützten Benutzer zu unterbinden.

Konfigurieren der Zugriffssteuerungsliste

Wie unter Konfigurieren von Regeln beschrieben, müssen Sie eine Liste vertrauenswürdiger StoreFront-Server konfigurieren, die dem FAS bei der Ausstellung von Zertifikaten Benutzeridentitäten zusichern können. Sie können außerdem festlegen, welchen Benutzern Zertifikate ausgestellt werden dürfen und bei welchen VDA-Maschinen sie sich authentifizieren können. Dies versteht sich zusätzlich zu den von Ihnen konfigurierten Active Directory- bzw. Zertifizierungsstellen-Standardsicherheitsfeatures.

Firewalleinstellungen

Für die gesamte Kommunikation mit FAS-Servern werden gegenseitig authentifizierte Kerberos-Netzwerkverbindungen gemäß Windows Communication Foundation über Port 80 verwendet.

Ereignisprotokollüberwachung

FAS und VDA schreiben Informationen in das Windows-Ereignisprotokoll. Diese können zur Überwachung und Überprüfung verwendet werden. Der Abschnitt Ereignisprotokolle enthält eine Liste möglicher Ereignisprotokolleinträge.

Hardwaresicherheitsmodule

Alle privaten Schlüssel (einschließlich der Schlüssel der vom FAS ausgestellten Benutzerzertifikate) werden als nicht exportierbare private Schlüssel vom Netzwerkdienstkonto gespeichert. Der FAS unterstützt die Verwendung eines kryptographischen Hardwaresicherheitsmoduls, sollte eine Sicherheitsrichtlinie dies erfordern.

Eine detaillierte Kryptographiekonfiguration ist über die Datei FederatedAuthenticationService.exe.config verfügbar. Diese Einstellungen gelten für die Ersterstellung privater Schlüssel. Daher können verschiedene Einstellungen für private Registrierungsstellenschlüssel (z. B. 4096 Bit, TPM-geschützt) und Laufzeit-Benutzerzertifikate verwendet werden.

Parameter Beschreibung
ProviderLegacyCsp Bei der Einstellung “true” verwendet der FAS die Microsoft CryptoAPI (CAPI). Andernfalls verwendet der FAS die Microsoft Cryptography Next Generation-API (CNG).
ProviderName Name des CAPI- oder CNG-Anbieters, der verwendet werden soll.
ProviderType Bezieht sich auf Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Muss immer 24 lauten, es sei denn, Sie verwenden ein HSM mit CAPI und der HSM-Hersteller hat eine andere Spezifikation.
KeyProtection Steuert das Flag “Exportable” privater Schlüssel. Ermöglicht außerdem die Verwendung eines TPM-Schlüsselspeichers (Trusted Platform Module), wenn die Hardware dies unterstützt.
KeyLength Schlüssellänge privater RSA-Schlüssel. Zulässige Werte sind 1024, 2048 und 4096 (Standard = 2048).

Leistungsindikatoren

Der FAS enthält eine Reihe von Leistungsindikatoren zur Lastnachverfolgung.

Lokalisiertes Bild

In der folgenden Tabelle werden die Leistungsindikatoren aufgelistet. Die meisten Leistungsindikatoren sind gleitende Mittelwerte über fünf Minuten.

Name Beschreibung
Aktive Sitzungen Anzahl der Verbindungen, die vom FAS nachverfolgt werden.
Gleichzeitige CSRs Anzahl der gleichzeitig verarbeiteten Zertifikatanforderungen
Privater-Schlüssel-Vorgänge Anzahl der pro Minute für private Schlüssel durchgeführten Vorgänge
Request time Länge der beim Generieren und Signieren eines Zertifikats verstrichenen Zeit
Certificate Count Anzahl der im FAS zwischengespeicherten Zertifikate.
CSR per minute Anzahl der Zertifikatsignaturanforderungen, die pro Minute verarbeitet werden.
Low/Medium/High Schätzung der Last, die der FAS in Form von Zertifikatsignieranforderungen (CSR) pro Minute übernehmen kann. Bei Überschreitung des Schwellenwerts für “High Load” können Sitzungsstarts fehlschlagen.

Ereignisprotokolle

Die folgenden Tabellen enthalten die vom FAS generierten Ereignisprotokolleinträge.

Administrationsereignisse [Verbundauthentifizierungsdienst]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden bei einer Konfigurationsänderung des FAS-Servers protokolliert.

Logcodes
[S001] ACCESS DENIED: User [{0}] is not a member of Administrators group
[S002] ACCESS DENIED: User [{0}] is not an Administrator of Role [{1}]
[S003] Administrator [{0}] setting Maintenance Mode to [{1}]
[S004] Administrator [{0}] enrolling with CA [{1}] templates [{2} and {3}]
[S005] Administrator [{0}] de-authorizing CA [{1}]
[S006] Administrator [{0}] creating new Certificate Definition [{1}]
[S007] Administrator [{0}] updating Certificate Definition [{1}]
[S008] Administrator [{0}] deleting Certificate Definition [{1}]
[S009] Administrator [{0}] creating new Role [{1}]
[S010] Administrator [{0}] updating Role [{1}]
[S011] Administrator [{0}] deleting Role [{1}]
[S012] Administrator [{0}] creating certificate [upn: {1} sid: {2} role: {3}][Certificate Definition: {4}][Security Context: {5}]
[S013] Administrator [{0}] deleting certificates [upn: {1} role: {2} Certificate Definition: {3} Security Context: {4}]
[S015] Administrator [{0}] creating certificate request [TPM: {1}]
[S016] Administrator [{0}] importing Authorization certificate [Reference: {1}]
[S050] Administrator [{0}] creating new cloud configuration: [{1}]
[S051] Administrator [{0}] updating cloud configuration: [{1}]
[S052] Administrator [{0}] removing cloud configuration
Logcodes
[S401] Performing configuration upgrade – [From version {0}][to version {1}]
[S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [currently running as: {0}]
[S404] Forcefully erasing the Citrix Federated Authentication Service database
[S405] An error occured while migrating data from the registry to the database: [{0}]
[S406] Migration of data from registry to database is complete (note: user certificates are not migrated)
[S407] Registry-based data was not migrated to a database since a database already existed
[S408] Cannot downgrade the configuration – [From version {0}][to version {1}]
[S409] ThreadPool MinThreads adjusted from [workers: {0} completion: {1}] to: [workers: {2} completion: {3}]
[S410] Failed to adjust ThreadPool MinThreads from [workers: {0} completion: {1}] to: [workers: {2} completion: {3}]
[S411] Error starting the FAS service: [{0}]

Creating identity assertions [Verbundauthentifizierungsdienst]

[Event Source: Event Source: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem vertrauenswürdigen Server eine Benutzeranmeldung bestätigt wird.

Logcodes
[S101] Server [{0}] is not authorized to assert identities in role [{1}]
[S102] Server [{0}] failed to assert UPN [{1}] (Exception: {2}{3})
[S103] Server [{0}] requested UPN [{1}] SID {2}, but lookup returned SID {3}
[S104] Server [{0}] failed to assert UPN [{1}] (UPN not allowed by role [{2}])
[S105] Server [{0}] issued identity assertion [upn: {1}, role {2}, Security Context: [{3}]]
[S120] Issuing certificate to [upn: {0} role: {1} Security Context: [{2}]]
[S121] Certificate issued to [upn: {0} role: {1}] by [certifcate authority: {2}]
[S122] Warning: Server is overloaded [upn: {0} role: {1}][Requests per minute {2}].
[S123] Failed to issue a certificate for [upn: {0} role: {1}] [exception: {2}]
[S124] Failed to issue a certificate for [upn: {0} role: {1}] at [certifcate authority: {2}] [exception: {3}]

Acting as a relying party [Verbundauthentifizierungsdienst]

[Event Source: Event Source: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem VDA ein Benutzer angemeldet wird.

Logcodes
[S201] Relying party [{0}] does not have access to a password.
[S202] Relying party [{0}] does not have access to a certificate.
[S203] Relying party [{0}] does not have access to the Logon CSP
[S204] Relying party [{0}] accessing the Logon CSP for [upn: {1}] in role: [{2}] [Operation: {3}] as authorized by [{4}]
[S205] Calling account [{0}] is not a relying party in role [{1}]
[S206] Calling account [{0}] is not a relying party
[S208] Private Key operation failed [Operation: {0}][upn: {1} role: {2} certificateDefinition {3}][Error {4} {5}].

In-session certificate server [Verbundauthentifizierungsdienst]

[Event Source: Event Source: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein sitzungsinternes Zertifikat verwendet.

Logcodes
[S301] Access Denied: User [{0}] does not have access to a Virtual Smart Card
[S302] User [{0}] requested unknown Virtual Smart Card [thumbprint: {1}]
[S303] Access Denied: User [{0}] does not match Virtual Smart Card [upn: {1}]
[S304] User [{0}] running program [{1}] on computer [{2}] using Virtual Smart Card [upn: {3} role: {4} thumbprint: {5}] for private key operation [{6}]
[S305] Private Key operation failed [Operation: {0}][upn: {1} role: {2} containerName {3}][Error {4} {5}].

FAS assertion plugin [Verbundauthentifizierungsdienst]

[Event Source: Event Source: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden vom FAS-Assertion-Plug-In protokolliert.

Logcodes
[S500] No FAS assertion plugin is configured
[S501] The configured FAS assertion plugin could not be loaded [exception:{0}]
[S502] FAS assertion plugin loaded [pluginId={0}] [assembly={1}] [location={2}]
[S503] Server [{0}] failed to assert UPN [{1}] (logon evidence was supplied but the plugin [{2}] does not support it)
[S504] Server [{0}] failed to assert UPN [{1}] (logon evidence was supplied but there is no configured FAS plugin)
[S505] Server [{0}] failed to assert UPN [{1}] (the plugin [{2}] rejected the logon evidence with status [{3}] and message [{4}])
[S506] The plugin [{0}] accepted logon evidence from server [{1}] for UPN [{2}] with message [{3}]
[S507] Server [{0}] failed to assert UPN [{1}] (the plugin [{2}] threw exception [{3}])
[S507] Server [{0}] failed to assert UPN [{1}] (the plugin [{2}] threw exception [{3}])
[S508] Server [{0}] failed to assert UPN [{1}] (access disposition was supplied but the plugin [{2}] does not support it)
[S509] Server [{0}] failed to assert UPN [{1}] (access disposition was supplied but there is no configured FAS plugin)
[S510] Server [{0}] failed to assert UPN [{1}] (the access disposition was deemed invalid by plugin [{2}]

Workspace-enabled FAS [Verbundauthentifizierungsdienst]

[Event Source: Event Source: Citrix.Fas.Cloud]

Diese Ereignisse werden protokolliert, wenn FAS zusammen mit Workspace verwendet wird.

Logcodes
[S001] Rotating Citrix Cloud service keys [fas id={0}]
[S002] The FAS cloud service is starting. FasHub cloud service URL: {0}
[S003] FAS registered with the cloud [fas id: {0}] [transaction id: {1}]
[S004] FAS failed to register with the cloud [fas id: {0}] [transaction id: {1}] [exception: {2}]
[S005] FAS sent its current configuration to the cloud [fas id: {0}] [transaction id: {1}]
[S006] FAS failed to send its current configuration to the cloud [fas id: {0}] [transaction id: {1}] [exception: {2}]
[S007] FAS unregisted from the cloud [fas id: {0}] [transaction id: {1}]
[S009] FAS failed to unregister from the cloud [fas id: {0}] [transaction id: {1}] [exception: {2}]
[S010] The FAS service is connected to the cloud messaging URL: {0}
[S011] The FAS service is not connected to the cloud
[S012] The FAS service is available for single-sign on from Citrix Cloud
[S013] The FAS service is not available for single-sign on from Citrix Cloud. [{0}] Further details can be found in the admin console
[S014] A call to the cloud service <service name> failed [fas id: {0}] [transaction id: {1}] [exception: {2}]
[S015] A message from Citrix Cloud was blocked because the caller is not permitted [message ID {0}] [transaction ID {1}] [caller {2}]
[S016] A call to the cloud service <service name> succeeded [fas id: {0}] [transaction id: {1}]
[S019] FAS downloaded its configuration from the cloud [fas id: {0}] [transaction id: {1}]
[S020] FAS failed to download its configuration from the cloud [fas id: {0}] [transaction id: {1}] [exception: {2}]
[S021] The FAS cloud service failed to start. Exception: {0}
[S022] The FAS cloud service is stopping

Log on [VDA]

[Event Source: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden bei der Anmeldung auf dem VDA protokolliert.

Logcodes
[S101] Identity Assertion Logon failed. Unrecognised Federated Authentication Service [id: {0}]
[S102] Identity Assertion Logon failed. Could not lookup SID for {0} [Exception: {1}{2}]
[S103] Identity Assertion Logon failed. User {0} has SID {1}, expected SID {2}
[S104] Identity Assertion Logon failed. Failed to connect to Federated Authentication Service: {0} [Error: {1} {2}]
[S105] Identity Assertion Logon. Logging in [Username: {0}][Domain: {1}]
[S106] Identity Assertion Logon. Logging in [Certificate: {0}]
[S107] Identity Assertion Logon failed. [Exception: {0}{1}]
[S108] Identity Assertion Subsystem. ACCESS_DENIED [Caller: {0}]

In-session certificates [VDA]

[Event Source: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein sitzungsinternes Zertifikat zu verwenden.

Logcodes
[S201] Virtual smart card access authorized by [{0}] for [PID: {1} Program Name: {2}][Certificate thumbprint: {3}]
[S203] Virtual Smart Card Subsystem. Access Denied [caller: {0}, session {1}]
[S204] Virtual Smart Card Subsystem. Smart card support disabled

Certificate request and key pair generation [Verbundauthentifizierungsdienst]

[Event Source: Citrix.Fas.PkiCore]

Diese Ereignisse werden protokolliert, wenn der FAS-Server low-level kryptographische Vorgänge durchführt.

Logcodes
[S001] TrustArea::TrustArea: Installed certificate [TrustArea: {0}] [Certificate {1}][TrustAreaJoinParameters{2}
[S014] Pkcs10Request::Create: Created PKCS10 request [Distinguished Name {0}]
[S016] PrivateKey::Create [Identifier {0}][MachineWide: {1}][Provider: {2}][ProviderType: {3}][EllipticCurve: {4}][KeyLength: {5}][isExportable: {6}]
[S017] PrivateKey::Delete [CspName: {0}, Identifier {1}]
Logcodes
[S104] MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0}
[S105] MicrosoftCertificateAuthority::SubmitCertificateRequest Error submit response [{0}]
[S106] MicrosoftCertificateAuthority::SubmitCertificateRequest Issued certificate [{0}]
[S112] MicrosoftCertificateAuthority::SubmitCertificateRequest - Waiting for approval [CR_DISP_UNDER_SUBMISSION] [Reference: {0}]