Verbundauthentifizierungsdienst

Übersicht

Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ist eine privilegierte Komponente für die Integration in Active Directory-Zertifikatdienste. Der Dienst stellt dynamisch Zertifikate für Benutzer aus, sodass diese sich bei einer Active Directory-Umgebung so anmelden können, als hätten sie eine Smartcard. Dadurch kann in StoreFront eine größere Bandbreite an Authentifizierungsoptionen, z. B. SAML-Assertionen (Security Assertion Markup Language), verwendet werden. SAML (Security Assertion Markup Language) wird häufig als Alternative für herkömmliche Windows-Benutzerkonten im Internet verwendet.

Die folgende Abbildung zeigt das Zusammenwirken des Verbundauthentifizierungsdiensts mit einer Microsoft-Zertifizierungsstelle und die Bereitstellung entsprechender Dienste für StoreFront sowie XenApp- und XenDesktop-VDAs.

lokalisiertes Bild

Vertrauenswürdige StoreFront-Server kontaktieren den FAS, wenn Benutzer Zugriff auf die Citrix Umgebung anfordern. Der FAS stellt ein Ticket aus, mit dem eine einzelne XenApp- oder XenDesktop-Sitzung eine Authentifizierung mit einem Zertifikat für die Sitzung durchführen kann. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung mit dem FAS her und löst das Ticket aus. Nur der FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA muss jeden erforderlichen Signier- und Entschlüsselungsvorgang mit dem Zertifikat an den FAS senden.

Anforderungen

Der Verbundauthentifizierungsdienst wird unter Windows Server-Betriebssystemen (Windows Server 2008 R2 oder höher) unterstützt.

  • Citrix empfiehlt die Installation des FAS auf einem Server, der keine anderen Citrix Komponenten enthält.
  • Der Windows-Server muss geschützt werden. Er erhält Zugriff auf ein Registrierungsstellenzertifikat und einen privaten Schlüssel zur automatischen Ausstellung von Zertifikaten für die Domänenbenutzer und Zugriff auf diese Benutzerzertifikate und privaten Schlüssel.

XenApp- bzw. XenDesktop-Site

  • Die Delivery Controller müssen mindestens in Version 7.9 vorliegen.
  • Der StoreFront-Server muss mindestens in Version 3.6 vorliegen (diese Version ist im ISO-Image für XenApp-/XenDesktop 7.9 enthalten).
  • Die Linux VDAs müssen mindestens in Version 7.18 vorliegen. Vergewissern Sie sich, dass die Verbundauthentifizierungsdienst-Gruppenrichtlinienkonfiguration richtig auf die VDAs angewendet wurde, bevor Sie den Maschinenkatalog gemäß dem Standardverfahren erstellen. Einzelheiten finden Sie in dem Abschnitt Konfigurieren der Gruppenrichtlinie in diesem Artikel.

Informationsquellen:

Konfigurieren von Windows für die Zertifikatanmeldung

Informationen zum Konfigurieren von Windows für die Zertifikatanmeldung finden Sie im Knowledge Center-Artikel CTX206156 in der Datei Smart_card_config_Citrix_Env.pdf (im Folgenden als “die PDF-Datei” bezeichnet). Führen Sie die folgenden Schritte gemäß der PDF-Datei aus und berücksichtigen Sie die für jeden Schritt angegebenen Unterschiede oder Ergänzungen. Achten Sie insbesondere auf den zu verwendenden Zielcomputer, z. B. Active Directory (AD), Delivery Controller oder StoreFront.

Einrichten einer Windows-Domäne (in AD)

Installieren von Domänencontrollerrollen

Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Installieren von Domänencontrollerrollen.

Stellen Sie bei der Installation der Active Directory-Zertifikatdienste sicher, dass die folgenden Optionen ausgewählt sind:

lokalisiertes Bild

lokalisiertes Bild

lokalisiertes Bild

Öffnen Sie http://localhost/certsrv/ und prüfen Sie, ob die folgende Begrüßungsseite angezeigt wird. Bei korrekter Anzeige wurden die Active Directory-Zertifikatdienste erfolgreich installiert.

lokalisiertes Bild

Vorbereiten der Zertifizierungsstelle für die Smartcard-Verwendung

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Vorbereiten der Zertifizierungsstelle für die Verwendung von Smartcards.

Ausstellen eines Domänencontrollerzertifikats

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Ausstellen eines Domänencontrollerzertifikats.

Konfigurieren von Microsoft IIS für HTTPS (in StoreFront)

Konfigurieren von HTTPS in Microsoft IIS

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Konfigurieren von HTTPS in Microsoft IIS.

Nicht in Domänen eingebundene Computer

Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zu nicht in Domänen eingebundenen Computern.

Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle (in AD)

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle.

Installieren des vertrauenswürdigen ZS-Zertifikats in Windows

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Installieren des vertrauenswürdigen ZS-Zertifikats in Windows.

Konfigurieren von Citrix StoreFront (in StoreFront)

Erstellen des Stores

Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Erstellen des Stores.

Nach der vorherigen IIS-Konfiguration wird für die Basis-URL des gemeinsamen Stores die Einstellung https:// anstelle von http://. Da FAS den Store nicht mit Smartcards teilt, wird ein neuer Store für FAS benötigt. Der FAS des Linux VDA ist mit allen StoreFront-Authentifizierungsmethoden kompatibel. Der FAS-Store kann beispielsweise mit Kennwörtern oder SAML geschützt werden, beide Optionen sind jedoch nicht gleichzeitig anwendbar. Bei Auswahl von SAML wird die StoreFront-URL automatisch an den Identitätsanbieter weitergeleitet, und die Kennwortauthentifizierung wird ignoriert.

lokalisiertes Bild

lokalisiertes Bild

lokalisiertes Bild

Starten Sie Internet Explorer und rufen Sie die URL des FAS-Stores auf (z. B. https://mzgwy-ddc.xd.local/Citrix/FASWeb).

Hinweis: An die URL des FAS-Stores muss Web angefügt sein.

Installieren und Einrichten des FAS

Installation und Einrichtung besteht aus den folgenden Schritten:

  1. Installieren Sie des Verbundauthentifizierungsdiensts
  2. Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf StoreFront-Servern
  3. Konfigurieren der Gruppenrichtlinie
  4. Verwenden Sie die Verwaltungskonsole des Verbundauthentifizierungsdiensts für folgende Aufgaben: (a) Bereitstellen der vorhandenen Vorlagen, (b) Einrichten von Zertifizierungsstellen und (c) Autorisieren des Verbundauthentifizierungsdiensts für die Verwendung der Zertifizierungsstelle.
  5. Konfigurieren von Benutzerrollen

Weitere Anweisungen zu den einzelnen Schritten finden Sie unter Verbundauthentifizierungsdienst. Berücksichtigen Sie die für jeden Schritt angegebenen Unterschiede oder Ergänzungen. Achten Sie insbesondere auf den zu verwendenden Zielcomputer, z. B. Active Directory (AD), Delivery Controller, StoreFront oder FAS-Server.

Installieren des Verbundauthentifizierungsdiensts (auf dem FAS-Server)

Aus Sicherheitsgründen empfiehlt Citrix die Installation des FAS auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle.

Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf einem StoreFront-Store (in StoreFront)

Verwenden Sie für den folgenden Befehl denselben FAS-Storenamen, den Sie beim Konfigurieren von StoreFront eingegeben haben. In diesem Beispiel ist FAS der Name des Stores:

$StoreVirtualPath = “/FAS

Konfigurieren des Delivery Controllers (in Delivery Controller)

Zur Verwendung des Verbundauthentifizierungsdiensts konfigurieren Sie den XenApp- bzw. XenDesktop-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm eine Verbindung herstellen können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus. Gegebenenfalls müssen Sie zunächst asnp citrix* ausführen.

Konfigurieren der Gruppenrichtlinie (auf dem FAS-Server und in AD)

Sie müssen Administrator sein, um die Schritte 1-7 in diesem Abschnitt ausführen zu können. Schritt 1 muss auf dem FAS-Server ausgeführt werden, während die Schritte 2-7 in Active Directory (AD) durchgeführt werden.

Nach Abschluss der Schritte 1-7 überprüfen Sie im Registrierungseditor des FAS-Servers, ob die FAS-Richtlinie festgelegt wurde.

lokalisiertes Bild

Aktivieren der Unterstützung für sitzungsinterne Zertifikate

Der Linux VDA unterstützt keine sitzungsinternen Zertifikate.

Verwendung der FAS-Verwaltungskonsole (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Bereitstellen von Zertifikatvorlagen (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Einrichten von Active Directory-Zertifikatdiensten (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Autorisieren des Verbundauthentifizierungsdiensts (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Konfigurieren von Benutzerregeln (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Weitere Informationen finden Sie auch unter Delegierte Registrierungs-Agents und Konfigurieren der Zugriffssteuerungsliste im Abschnitt Sicherheitsüberlegungen des Artikels Verbundauthentifizierungsdienst.

AD FS-Bereitstellung des Verbundauthentifizierungsdiensts

Weitere Informationen zum Bereitstellen des AD FS-Identitätsanbieters für den Verbundauthentifizierungsdienst finden Sie unter AD FS-Bereitstellung des Verbundauthentifizierungsdiensts.

Konfigurieren des Linux VDA

Einrichten von FAS-Servern

Um den Verbundauthentifizierungsdienst bei einer Neuinstallation von Linux VDA einzurichten, geben Sie den FQDN jedes FAS-Servers ein, wenn Sie beim Ausführen von ctxinstall.sh oder ctxsetup.sh nach CTX_XDL_FAS_LIST gefragt werden. Da der Linux VDA die AD-Gruppenrichtlinie nicht unterstützt, geben Sie stattdessen eine durch Semikolons getrennte Liste mit FAS-Servern an. Wenn eine Serveradresse entfernt wird, füllen Sie die leere Stelle mit der Textzeichenfolge <none> auf und behalten die Reihenfolge der Serveradressen unverändert bei.

Zum Aktualisieren einer vorhandenen Linux VDA-Installation können Sie ctxsetup.sh erneut ausführen, um die FAS-Server einzurichten. Sie können die FAS-Server auch über die folgenden Befehle einrichten. Starten Sie anschließend den ctxvda-Dienst neu, um die Einstellung zu übernehmen.

sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -t "REG_SZ" -v "Addresses" -d "<Your-FAS-Server-List>" –force

service ctxvda restart

Um die FAS-Server über ctxreg zu aktualisieren, führen Sie die folgenden Befehle aus:

sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -v "Addresses" -d "<Your-FAS-Server-List>"

service ctxvda restart

Installieren eines Stammzertifizierungsstellenzertifikats

Für die Überprüfung von Benutzerzertifikaten installieren Sie das Stammzertifizierungsstellenzertifikat auf dem VDA. Sie können das AD-Stammzertifikat aus dem vorherigen Schritt Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle (in AD) abfragen oder es im DER-Format vom Stammzertifizierungsstellenserver http://CA-SERVER/certsrv herunterladen.

Mit diesem oder einem ähnlichen Befehl können Sie eine DER-Datei (*.crt, *.cer, *.der) in PEM konvertieren.

sudo openssl x509 -inform der -in root.cer -out root.pem

Anschließend installieren Sie mit diesem oder einem ähnlichen Befehl das Stammzertifizierungsstellenzertifikat im Verzeichnis openssl:

sudo cp root.pem /etc/pki/CA/certs/

Hinweis:

Speichern Sie das Stammzertifizierungsstellenzertifikat nicht im Verzeichnis /root. Andernfalls besitzt FAS keine Leseberechtigung für das Stammzertifizierungsstellenzertifikat.

Konfigurieren von FAS

Führen Sie das folgende Skript aus, um FAS-Parameter zu konfigurieren:

sudo /opt/Citrix/VDA/sbin/ctxfascfg.sh

Wählen Sie die korrekte Active Directory-Integrationsmethode aus und geben Sie den korrekten Pfad zum Stammzertifizierungsstellenzertifikat ein (z. B. /etc/pki/CA/certs/root.pem).

Das Skript installiert die Pakete krb5-pkinit und pam_krb5 und legt die relevanten Konfigurationsdateien fest.

Einschränkung

  • In der Version 7.18 unterstützt FAS eingeschränkte Plattformen und AD-Integrationsmethoden, siehe folgende Tabelle:

      Winbind SSSD Centriy
    RHEL 7.4
    RHEL 6.9 × × ×
    RHEL 6.8 × × ×
    Ubuntu 16.04 (4.13 Kernel) ×
    SLES 12.3 ×
  • FAS unterstützt den Sperrbildschirm noch nicht. Wenn Sie in einer Sitzung auf die Sperrschaltfläche klicken, können Sie sich mit FAS nicht erneut bei der Sitzung anmelden.
  • Der Artikel Übersicht über die Architekturen des Verbundauthentifizierungsdiensts enthält eine Übersicht über die gebräuchlichen FAS-Architekturen, die in dieser Version unterstützt werden. Eine inbindung in Azure AD unter Windows 10 ist ausgeschlossen.

Problembehandlung

Stellen Sie vor einer Problembehandlung des Verbundauthentifizierungsdiensts (FAS) sicher, dass der Linux VDA ordnungsgemäß installiert und konfiguriert ist, sodass Sitzungen ohne FAS-Server erfolgreich im gemeinsamen Store per Kennwortauthentifizierung gestartet werden können.

Wenn Sitzungen ohne FAS-Server fehlerfrei ausgeführt werden, setzen Sie die HDX-Protokollebene der Login-Klasse auf VERBOSE und die VDA-Protokollebene auf TRACE. Informationen zum Aktivieren von Protokollen zur Ablaufverfolgung (Tracing) für Linux VDA finden Sie im Knowledge Center-Artikel CTX220130.

Fehler bei der FAS-Serverkonfiguration

Das Starten einer Sitzung aus dem FAS-Speicher schlägt fehl und ein Fenster wird wie folgt angezeigt:

lokalisiertes Bild

Überprüfen Sie /var/log/xdl/hdx.log und suchen Sie ein Fehlerprotokoll folgender Art:

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: query2fas: failed to retrieve data: No such file or directory.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: sayhello2fas_internal: Failed to query.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: sayhello2fas_convertcredential: exit.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: LoginFasValidate: Failed to start FAS.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: receive_data: LoginFASValidate - parameters check error.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: receive_data: Exit FAILURE

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: main: EXITING login process..., FAILURE

Lösung

Stellen Sie mit folgendem Befehl sicher, dass der Citrix Registrierungswert “HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService” auf <Your-FAS-Server-List> festgelegt ist.

sudo /opt/Citrix/VDA/bin/ctxreg dump | grep "UserCredentialService"

Wenn die Einstellung falsch ist, legen Sie sie erneut fest, wie weiter oben im Schritt Einrichten von FAS-Servern beschrieben.

Falsche Konfiguration des Stammzertifizierungsstellenzertifikats

Der Start einer Sitzung über den FAS-Store schlägt fehl. Ein graues Fenster wird für einige Sekunden angezeigt.

lokalisiertes Bild

Überprüfen Sie /var/log/xdl/hdx.log und suchen Sie ein Fehlerprotokoll folgender Art:  

2018-03-27 10:15:52.227 <P9099:S3> citrix-ctxlogin: validate_user: pam_authenticate err,can retry for user user1@CTXFAS.LAB

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: logout_user: closing session and pam transaction

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: validate_user: Exit (user=user1@CTXFAS.LAB)=INVALID_PASSWORD

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: LoginBoxValidate: failed validation of user 'user1@CTXFAS.LAB', INVALID_PASSWORD

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: Audit_login_failure: Not yet implemented

Lösung

Stellen Sie sicher, dass der vollständige Pfad des Stammzertifizierungsstellenzertifikats korrekt in /etc/krb5.conf festgelegt ist. Der vollständige Pfad ist dem folgenden ähnlich:


 [realms]

EXAMPLE.COM = {

    ......

    pkinit_anchors = FILE:/etc/pki/CA/certs/root.pem

    ......

}  

Wenn die vorhandene Einstellung falsch ist, legen Sie sie erneut fest, wie weiter oben im Schritt Installieren eines Zertifikats der Stammzertifizierungsstelle beschrieben.

Überprüfen Sie auch, ob das Stammzertifizierungsstellenzertifikat gültig ist.

Kontozuordnungsfehler bei Spiegelung

FAS ist für die SAML-Authentifizierung konfiguriert. Der folgende Fehler kann auftreten, wenn ein Benutzer der Active Directory-Verbunddienste (AD FS) den Benutzernamen und das Kennwort auf der AD FS-Anmeldeseite eingibt.

lokalisiertes Bild

Die Fehlermeldung zeigt an, dass der Benutzer zwar erfolgreich in AD FS verifiziert wurde, aber kein gespiegeltes Konto für den Benutzer in AD konfiguriert ist.

Lösung

Richten Sie das gespiegelte Konto in AD ein.

AD FS nicht konfiguriert

Bei der Anmeldung beim FAS-Stores tritt folgender Fehler auf:

lokalisiertes Bild

Sie wird ausgelöst, weil der FAS-Store für die SAML-Authentifizierung konfiguriert ist und die AD FS-Bereitstellung fehlt.

Lösung

Stellen Sie den AD FS-Identitätsanbieter für den Verbundauthentifizierungsdienst (FAS) bereit. Weitere Informationen finden Sie unter AD FS-Bereitstellung des Verbundauthentifizierungsdiensts.

Verwandte Informationen

Bekanntes Problem

Beim Einsatz von FAS kann der Start einer veröffentlichten Desktop- oder App-Sitzung mit nicht-englischen Zeichen fehlschlagen.

lokalisiertes Bild

Workaround

Klicken Sie im ZS-Tool mit der rechten Maustaste auf Vorlagen verwalten und ändern Sie die Vorlage für Citrix_SmartcardLogon von Aus diesen Informationen in Active Directory erstellen in Informationen werden in der Anforderung angegeben, wie im Folgenden angezeigt:

lokalisiertes Bild