Installation und Konfiguration

Reihenfolge der Schritte zur Installation und Einrichtung

  1. Verbundauthentifizierungsdienst installieren (FAS)
  2. Aktivieren des FAS-Plug-Ins für StoreFront-Stores
  3. Konfigurieren des Delivery Controllers
  4. Konfigurieren der Gruppenrichtlinie
  5. Verwenden Sie die FAS-Verwaltungskonsole für Folgendes:
    1. Bereitstellen von Zertifikatvorlagen
    2. Einrichten von Zertifizierungsstellen
    3. Autorisierte Verwendung Ihrer Zertifizierungsstellen durch den FAS
    4. Konfigurieren von Regeln
    5. Verbinden des FAS mit Citrix Cloud (optional)

Verbundauthentifizierungsdienst installieren

Aus Sicherheitsgründen empfiehlt Citrix die Installation des Verbundauthentifizierungsdiensts (FAS) auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle. Der FAS kann folgendermaßen installiert werden:

  • mit dem Citrix Virtual Apps and Desktops-Installationsprogramm (über die Schaltfläche Verbundauthentifizierungsdienst auf dem Begrüßungsbildschirm der automatischen Ausführung, wenn die ISO-Datei eingefügt wird) oder
  • mit der eigenständigen FAS-Installationsdatei (verfügbar als MSI-Datei auf Citrix Downloads).

Es werden folgende Komponenten installiert:

Aktualisieren des Verbundauthentifzierungsdiensts

Sie können den FAS über ein direktes Upgrade aktualisieren. Berücksichtigen Sie vor dem Upgrade Folgendes:

  • Alle FAS-Servereinstellungen bleiben erhalten, wenn Sie ein direktes Upgrade durchführen.
  • Stellen Sie sicher, dass die FAS-Verwaltungskonsole geschlossen ist, bevor Sie den FAS aktualisieren.
  • Stellen Sie sicher, dass stets mindestens ein FAS-Server verfügbar ist. Wenn kein Server mit einem für den Verbundauthentifizierungsdienst aktivierten StoreFront-Server erreichbar ist, können die Benutzer sich nicht anmelden und keine Anwendungen starten.

Um ein Upgrade zu starten, installieren Sie den FAS mit dem Citrix Virtual Apps and Desktops-Installationsprogramm oder mit der eigenständigen FAS-Installationsdatei.

Aktivieren des FAS-Plug-Ins für StoreFront-Stores

Hinweis:

Dieser Schritt ist nicht erforderlich, wenn Sie den FAS nur mit Citrix Cloud verwenden.

Zum Aktivieren der FAS-Integration auf einem StoreFront-Store führen Sie als Administrator folgende PowerShell-Cmdlets aus. Wenn der Store einen anderen Namen hat, ändern Sie $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Zum Beenden der Verwendung des FAS verwenden Sie folgendes PowerShell-Skript:

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""

Konfigurieren des Delivery Controllers

Hinweis:

Dieser Schritt ist nicht erforderlich, wenn Sie den FAS nur mit Citrix Cloud verwenden.

Zur Verwendung des FAS konfigurieren Sie den Citrix Virtual Apps- oder Citrix Virtual Desktops-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm verbunden werden können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus. Dies muss pro Site nur einmal durchgeführt werden, unabhängig von der Anzahl der Delivery Controller in der Site.

Konfigurieren der Gruppenrichtlinie

Nach der FAS-Installation müssen Sie die vollqualifizierten Domänennamen (FQDN) der FAS-Server in der Gruppenrichtlinie angeben und hierfür die im Installationsprogramm enthaltenen Gruppenrichtlinienvorlagen verwenden.

Wichtig:

Die Tickets anfordernden StoreFront-Server und die Tickets auslösenden Virtual Delivery Agents (VDAs) müssen die gleiche FQDN-Konfiguration haben, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Der Einfachheit halber zeigen die folgenden Beispiele die Konfiguration einer Richtlinie auf Domänenebene für alle Maschinen. Dies ist jedoch nicht erforderlich. Der FAS funktioniert, wenn die Liste der FQDNs für die StoreFront-Server, die VDAs und die Maschine mit der FAS-Verwaltungskonsole identisch sind. Siehe Schritt 6.

Schritt 1. Suchen Sie auf dem Server, auf dem Sie den FAS installiert haben, die Dateien C:\Programme\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und CitrixBase.admx und den Ordner “de-DE”.

lokalisiertes Bild

Schritt 2. Kopieren Sie diese auf die Domänencontroller in den Pfad C:\Windows\PolicyDefinitions.

Schritt 3. Führen Sie Microsoft Management Console (Befehlszeile: “mmc.exe”) aus. Wählen Sie auf der Menüleiste Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie nach einem Gruppenrichtlinienobjekt gefragt werden, wählen Sie Durchsuchen und dann Standarddomänenrichtlinie. Alternativ können Sie ein für Ihre Umgebung geeignetes Richtlinienobjekt mit einem Tool Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen relevante Citrix Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

lokalisiertes Bild

Schritt 4. Navigieren Sie zur Richtlinie Verbundauthentifizierungsdienst (Federated Authentication Service) unter Configuration/Policies/Administrative Templates/Citrix Components/Authentication.

Authentifizierungsvorlagen.

Hinweis:

Die Einstellung der Verbundauthentifizierungsdienst-Richtlinie ist nur im Gruppenrichtlinienobjekt der Domäne verfügbar, wenn Sie die Vorlagendatei CitrixBase.admx/CitrixBase.adml in den Ordner PolicyDefinitions einfügen. Nach Schritt 3 wird die Richtlinieneinstellung für den Verbundauthentifizierungsdienst im Ordner “Administrative Vorlagen > Citrix Komponenten > Authentifizierung” aufgeführt.

Step 5. Öffnen Sie die Verbundauthentifizierungsdienst-Richtlinie und wählen Sie Aktiviert. Dadurch wird die Schaltfläche Anzeigen wählbar, über die Sie die FQDNs der FAS-Server konfigurieren.

FQDNs.

Schritt 6. Geben Sie die FQDNs der FAS-Server ein.

Wichtig:

Wenn Sie mehrere FQDNs eingeben, muss die Reihenfolge der Liste für VDAs, StoreFront-Server (falls vorhanden) und FAS-Server übereinstimmen. Siehe Gruppenrichtlinieneinstellungen.

Schritt 7. Klicken Sie auf OK, um den Gruppenrichtlinien-Assistenten zu beenden und die Änderungen der Gruppenrichtlinie anzuwenden. Sie müssen u. U. die Maschinen neu starten oder gpupdate /force an der Befehlszeile ausführen, damit die Änderungen wirksam werden.

In-session Behavior

Diese Richtlinie aktiviert einen Agentprozess in der VDA-Sitzung des Benutzers, der sitzungsinterne Zertifikate, Zustimmung und Trennung bei Sperre unterstützt. Sitzungsinterne Zertifikate sind nur verfügbar, wenn diese Richtlinie aktiviert ist und wenn die zum Erstellen des Zertifikats verwendete FAS-Regel die sitzungsinterne Nutzung gestattet, siehe Konfigurieren von Regeln.

In-session Behavior.

Enable aktiviert diese Richtlinie und ermöglicht die Ausführung eines FAS-Agentprozesses in der VDA-Sitzung des Benutzers.

Disable deaktiviert die Richtlinie und stoppt die Ausführung des FAS-Agentprozesses.

Prompt Scope

Wenn diese Richtlinie aktiviert ist, steuert Prompt Scope, wie Benutzer aufgefordert werden zuzustimmen, damit eine Anwendung ein sitzungsinternes Zertifikat verwenden kann. Es gibt drei Optionen:

  • No consent required: Diese Option deaktiviert die Sicherheitsaufforderung und private Schlüssel werden im Hintergrund verwendet.
  • Per-process consent: Für jedes laufende Programm ist die separate Zustimmung erforderlich.
  • Per-session consent: Sobald der Benutzer auf OK klickt, gilt die Zustimmung für alle Programme in der Sitzung.

Wenn diese Richtlinie aktiviert ist, definiert Consent Timeout, wie lange die Zustimmung gültig ist (in Sekunden). Bei einer Gültigkeit von 300 Sekunden müssen Benutzer beispielsweise alle fünf Minuten neu zustimmen. Beim Wert Null müssen Benutzer bei jedem Privatschlüsselvorgang zustimmen.

Trennen beim Sperren

Wenn diese Richtlinie aktiviert ist, wird die Sitzung des Benutzers automatisch getrennt, wenn der Bildschirm gesperrt wird. Diese Funktionalität bietet ein ähnliches Verhalten wie die Richtlinie “Trennen beim Entfernen von Smartcards” und ist nützlich für Situationen, in denen Benutzer keine Active Directory Anmeldeinformationen haben.

Hinweis:

Die Richtlinie zum Trennen der Verbindung beim Sperren gilt für alle Sitzungen auf dem VDA.

Verwendung der FAS-Verwaltungskonsole

Hinweis:

Die FAS-Verwaltungskonsole eignet sich für die meisten Bereitstellungen, während die PowerShell erweiterte Optionen bietet. Informationen zu den FAS-PowerShell-Cmdlets finden Sie unter PowerShell-Cmdlets.

Die FAS-Verwaltungskonsole wird als Teil des FAS installiert. Ein Symbol (Citrix Verbundauthentifizierungsdienst) wird in das Startmenü eingefügt.

Bei der ersten Verwendung der Verwaltungskonsole werden Sie durch ein Verfahren zum Bereitstellen von Zertifikatvorlagen, Einrichten der Zertifizierungsstelle und Autorisieren des FAS für die Verwendung der Zertifizierungsstelle geführt. Einige Schritte können auch manuell mit Tools zur Betriebssystemkonfiguration durchgeführt werden.

Die FAS-Verwaltungskonsole stellt standardmäßig eine Verbindung zum On-Premises-Verbundauthentifizierungsdienst her. Bei Bedarf können Sie über Connect to another Server rechts oben in der Konsole eine Verbindung zu einem Remotedienst herstellen.

lokalisiertes Bild

Bereitstellen von Zertifikatvorlagen

Zur Vermeidung von Interoperabilitätsproblemen mit anderer Software bietet der FAS drei eigene Citrix Zertifikatvorlagen.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Diese Vorlagen müssen bei Active Directory registriert sein. Klicken Sie auf die Schaltfläche Deploy und dann auf OK.

lokalisiertes Bild

Die Konfiguration der Vorlagen ist in den XML-Dateien mit der Erweiterung “certificatetemplate” zu finden. Diese werden mit dem FAS in folgenden Pfad installiert:

C:\Programme\Citrix\Federated Authentication Service\CertificateTemplates

Ordner für Zertifikatvorlagen.

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie sie dem Active Directory-Administrator.

Zur manuellen Installation der Vorlagen können Sie die folgenden PowerShell-Befehle verwenden, die sich im Ordner mit den Vorlagen befinden:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)

Einrichten von Active Directory-Zertifikatdienste

Nach Installation der Citrix Zertifikatvorlagen müssen sie auf mindestens einem Microsoft Enterprise-Zertifizierungsstellenserver veröffentlicht werden. Informationen zur Bereitstellung von Active Directory-Zertifikatdienste finden Sie in der Dokumentation von Microsoft.

Wenn die Vorlagen nicht auf mindestens einem Server veröffentlicht sind, können Sie sie mit Set Up Certificate Authority veröffentlichen. Sie müssen dies als Benutzer mit Berechtigung zum Verwalten der Zertifizierungsstelle ausführen.

(Zertifikatvorlagen können auch mit der Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

lokalisiertes Bild

Autorisieren des Verbundauthentifizierungsdiensts

Dieser Schritt leitet die Autorisierung des FAS ein. Von der Verwaltungskonsole wird die Vorlage “Citrix_RegistrationAuthority_ManualAuthorization” zum Erstellen einer Zertifikatanforderung verwendet, die dann an eine der Zertifizierungsstellen gesendet wird, die das Zertifikat veröffentlichen.

lokalisiertes Bild

Nachdem die Anforderung gesendet wurde, wird sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole als ausstehende Anforderung des FAS-Maschinenkontos angezeigt. Der Administrator der Zertifizierungsstelle muss die Anforderung ausstellen oder ablehnen, damit die Konfiguration des FAS fortgesetzt werden kann.

Die FAS-Verwaltungskonsole zeigt ein Drehfeld an, bis der Administrator Ausstellen oder Verweigern wählt.

Klicken Sie in der Konsole der Microsoft-Zertifizierungsstelle mit der rechten Maustaste auf Alle Tasks und wählen Sie für die Zertifikatsanforderung Ausstellen oder Verweigern. Wenn Sie Ausstellen wählen, zeigt die FAS-Verwaltungskonsole das Autorisierungszertifikat an. Wenn Sie Verweigern wählen, zeigt die Konsole eine Fehlermeldung an.

lokalisiertes Bild

Die FAS-Verwaltungskonsole erkennt automatisch, wenn dieser Prozess abgeschlossen ist. Er kann einige Minuten dauern.

lokalisiertes Bild

Konfigurieren von Regeln

Der Verbundauthentifizierungsdienst (FAS) verwendet Regeln, um die Ausstellung von Zertifikaten für VDA-Anmeldungen und -Sitzungen nach Vorgabe von StoreFront zu autorisieren. Jede Regel legt die StoreFront-Server fest, die als vertrauenswürdig zum Anfordern von Zertifikaten gelten, die Benutzer, für die sie angefordert werden können, und die VDA-Maschinen, die sie verwenden dürfen.

Der FAS erfordert mindestens eine erstellte und konfigurierte Regel. Wir empfehlen, dass Sie eine Regel mit dem Namen “default” erstellen, da StoreFront bei der Kontaktaufnahme mit dem FAS standardmäßig die Regel “default” anfordert.

Sie können zusätzliche benutzerdefinierte Regeln erstellen, um auf verschiedene Zertifikatvorlagen und Zertifizierungsstellen zu verweisen und für sie unterschiedliche Eigenschaften und Berechtigungen zu konfigurieren. Diese Regeln können für die Verwendung durch verschiedene StoreFront-Server oder von Workspace konfiguriert werden. Konfigurieren Sie die StoreFront-Server so, dass die benutzerdefinierte Regel über den Namen angefordert wird. Verwenden Sie dazu die Konfigurationsoptionen für die Gruppenrichtlinien.

Klicken Sie auf der Registerkarte “Rules” auf Create (oder Create Rules), um den Assistenten zur Regelerstellung zu starten, der Informationen zum Erstellen der Regel sammelt. Die Registerkarte “Rules” zeigt eine Zusammenfassung der einzelnen Regeln.

lokalisiertes Bild

Folgende Informationen werden vom Assistenten erfasst:

Template: Die Zertifikatvorlage, die zum Ausstellen von Benutzerzertifikaten verwendet wird. Dies sollte die Vorlage Citrix_SmartcardLogon oder eine modifizierte Kopie sein (siehe Zertifikatvorlagen).

Certificate Authority: Die Zertifizierungsstelle, die Benutzerzertifikate ausstellt. Die Vorlage muss von der Zertifizierungsstelle veröffentlicht werden. Für Failover und Lastausgleich können mehrere Zertifizierungsstellen hinzugefügt werden. Stellen Sie sicher, dass der Status für die gewählte Zertifizierungsstelle “Template available” anzeigt. Siehe Zertifizierungsstellenverwaltung.

In-Session Use: Mit der Option Allow in-session use legen Sie fest, ob ein Zertifikat nach der Anmeldung am VDA verwendet werden kann.

  • Allow in-session use nicht ausgewählt (Standardeinstellung, empfohlen): Das Zertifikat wird nur für das Anmelden oder Wiederverbinden verwendet, und Benutzer haben nach der Authentifizierung keinen Zugriff auf das Zertifikat.
  • Allow in-session use ist ausgewählt: Benutzer haben nach der Authentifizierung Zugriff auf das Zertifikat. Die meisten Kunden sollten diese Option nicht wählen. Auf Ressourcen wie Intranet-Websites oder Datenfreigaben, auf die innerhalb der VDA-Sitzung zugegriffen wird, kann mit Kerberos Single Sign-On zugegriffen werden. Daher ist hier kein sitzungsinternes Zertifikat erforderlich.

    Wenn Sie Allow in-session use auswählen, muss die Gruppenrichtlinie In-session Behavior auch aktiviert und auf den VDA angewendet werden. Zertifikate werden dann nach der Anmeldung eines Benutzers in dessen persönlichem Zertifikatspeicher abgelegt. Ein Zertifikat kann dann beispielsweise von Internet Explorer verwendet werden, wenn innerhalb der VDA-Sitzung eine TLS-Authentifizierung bei Webservern erforderlich ist.

Access control: Liste der vertrauenswürdigen StoreFront-Servermaschinen, die Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anfordern dürfen. Für all diese Berechtigungen können Sie einzelne AD-Objekte oder Gruppen hinzufügen.

Wichtig:

Die Einstellung Access control ist sicherheitsrelevant und muss mit großer Sorgfalt gewählt werden.

Hinweis:

Wenn Sie den FAS-Server nur mit Citrix Cloud verwenden, müssen Sie “Access control” nicht konfigurieren. Wenn eine Regel von Citrix Cloud verwendet wird, werden die StoreFront-Zugriffsberechtigungen ignoriert. Sie können dieselbe Regel mit Citrix Cloud und mit einer On-Premises-StoreFront-Bereitstellung verwenden. StoreFront-Zugriffsberechtigungen werden auch dann angewendet, wenn die Regel von einem On-Premises-StoreFront genutzt wird.

Die Standardberechtigung (“Assert Identity” zugelassen) verweigert alles. Daher müssen Sie Ihre Storefront-Server explizit zulassen.

lokalisiertes Bild

Restrictions: Liste der VDA-Maschinen, die Benutzer über den FAS anmelden können, und die Liste der Benutzer, für die Zertifikate über den FAS ausgestellt werden können.

  • Mit Manage VDA permissions können Sie angeben, auf welchen VDAs Benutzer sich über den FAS anmelden können. Die Liste der VDAs wird standardmäßig auf “Domain Computers” festgelegt.

  • Mit Manage user permissions können Sie angeben, welche Benutzer sich über den FAS bei einem VDA anmelden können. Die Liste der Benutzer wird standardmäßig auf “Domain Users” festgelegt.

Hinweis:

Wenn der FAS-Server in einer anderen Domäne als die VDAs und Benutzer ist, müssen die Standardeinschränkungen geändert werden.

lokalisiertes Bild

lokalisiertes Bild

Cloud rule: Gibt an, ob die Regel angewendet wird, wenn Identitätsassertions von Citrix Workspace empfangen werden. Wenn Sie eine Verbindung mit Citrix Cloud herstellen, wählen Sie aus, welche Regel für Citrix Cloud zu verwenden ist. Nach dem Verbinden mit Citrix Cloud können Sie die Regel auch über einen Link im Abschnitt Connect to Citrix Cloud ändern.

lokalisiertes Bild

Herstellen einer Verbindung mit Citrix Cloud

Sie können den FAS-Server über Citrix Workspace mit Citrix Cloud verbinden. Siehe diesen Citrix Workspace-Artikel.

  1. Klicken Sie auf der Registerkarte für die Ersteinrichtung unter Connect to Citrix Cloud auf Connect.

    Dialogfeld zur Verbindung mit Cloud.

  2. Klicken Sie auf Sign in to Citrix Cloud und melden Sie sich bei Citrix Cloud an. Verwenden Sie hierfür die Administratoranmeldeinformationen für den Cloud-Kunden, mit dem Sie sich verbinden.

    Cloud-Kunde und Cloud-Ressource.

  3. Wählen Sie ggf. das Kundenkonto und dann den Ressourcenstandort, an dem Sie den FAS-Server verbinden möchten. Klicken Sie auf Continue und schließen Sie das Bestätigungsfenster.

    Cloud-Anmeldedialogfenster.

  4. Wählen Sie in der FAS-Verwaltungskonsole eine Regel, die angewendet werden soll, wenn Identitätsassertions von Citrix Workspace empfangen werden, oder wählen Sie Create a rule, wenn dieser Assistent abgeschlossen ist. (Auf der Registerkarte “Rules” wird für “Cloud rule” für die von Ihnen ausgewählte oder erstellte Regel der Wert “Ja” angezeigt.)
  5. Klicken Sie auf der Registerkarte “Summary” auf Finish, um die Citrix Cloud-Verbindung herzustellen.

Citrix Cloud registriert den FAS-Server und zeigt ihn in Ihrem Citrix Cloud-Konto auf der Seite “Ressourcenstandorte” an.

Trennen der Verbindung mit Citrix Cloud

Nachdem Sie den FAS-Server wie in diesem Citrix Workspace-Artikel beschrieben aus Ihrem Citrix Cloud-Ressourcenstandort entfernt haben, wählen Sie unter Connect to Citrix Cloud den Befehl Disable.