Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Konfigurieren von Domänen-Passthrough-Authentifizierung mit Kerberos

Nov. 19, 2015

Dieser Abschnitt gilt nur für Verbindungen zwischen Receiver und StoreFront, XenDesktop oder XenApp.

Receiver für Windows unterstützt Kerberos für Domänen-Passthrough-Authentifizierung in Bereitstellungen mit Smartcardverwendung. Kerberos ist eine der in der integrierten Windows-Authentifizierung (IWA) enthaltenen Authentifizierungsmethoden.

Bei aktivierter Kerberos-Authentifizierung handhabt Kerberos die Authentifizierung ohne Kennwörter für Receiver und verhindert trojaner-artige Angriffe auf das Benutzergerät, um auf die Kennwörter zuzugreifen. Benutzer melden sich mit einer beliebigen Authentifizierungsmethode am Benutzergerät an, z. B. biometrische Authentifizierungsmethoden wie ein Fingerabdrucklesegerät, und greifen ohne weitere Authentifizierung auf veröffentlichte Ressourcen zu.

Wenn Receiver, StoreFront, XenDesktop und XenApp für Smartcard-Authentifizierung konfiguriert sind und ein Benutzer sich mit einer Smartcard anmeldet, handhabt Receiver die Passthrough-Authentifizierung mit Kerberos wie folgt:

  1. Der Single Sign-On-Dienst von Receiver erfasst die Smartcard-PIN.
  2. Receiver verwendet IWA (Kerberos) für die Authentifizierung des Benutzers bei StoreFront. StoreFront stellt Receiver Informationen zu den verfügbaren virtuellen Desktops und Apps bereit.
    Hinweis: Für diesen Schritt ist die Verwendung von Kerberos nicht erforderlich. Durch die Aktivierung von Kerberos auf Receiver wird lediglich eine weitere PIN-Eingabe vermieden. Wenn Sie die Kerberos-Authentifizierung nicht verwenden, führt Receiver mit den Smartcard-Anmeldeinformationen eine Authentifizierung bei StoreFront durch.
  3. Die HDX Engine (früher als ICA-Client bezeichnet) übergibt die Smartcard-PIN an XenDesktop oder XenApp, um den Benutzer an der Windows-Sitzung anzumelden. XenDesktop oder XenApp stellen dann die angeforderten Ressourcen bereit.

Stellen Sie zur Verwendung der Kerberos-Authentifizierung bei Receiver sicher, dass für die Kerberos-Konfiguration Folgendes gilt.

  • Kerberos funktioniert nur zwischen Receiver und Servern, die zu denselben oder vertrauenswürdigen Windows Server-Domänen gehören. Den Servern muss außerdem für Delegierungszwecke vertraut werden, eine Option, die Sie über das Verwaltungstool Active Directory-Benutzer und -Computer konfigurieren können.
  • Kerberos muss in der Domäne und in XenDesktop und XenApp aktiviert sein. Um hohe Sicherheit und die Verwendung von Kerberos zu gewährleisten, deaktivieren Sie alle IWA-Optionen außer Kerberos.
  • Kerberos-Anmeldung ist nicht verfügbar für Remotedesktopdienste-Verbindungen, die eine Standardauthentifizierung oder immer bestimmte Anmeldeinformationen verwenden oder die immer zur Eingabe des Kennworts auffordern.

Im Folgenden wird beschrieben, wie Sie Domänen-Passthrough-Authentifizierung für die häufigsten Szenarien konfigurieren. Wenn Sie von Webinterface auf StoreFront migrieren und zuvor eine benutzerdefinierte Authentifizierungslösung verwendet haben, erhalten Sie weitere Informationen von dem für Sie zuständigen Mitarbeiter des Citrix Support.

Achtung: Für einige der in diesem Abschnitt beschriebenen Konfigurationen muss die Registrierung bearbeitet werden. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Konfigurieren der Domänen-Passthrough-Authentifizierung mit Kerberos für die Verwendung mit Smartcards

Wenn Sie mit Smartcard-Bereitstellungen in einer XenDesktop-Umgebung nicht vertraut sind, sollten Sie die Informationen zu Smartcards unter Sichern der Bereitstellung in der XenDesktop-Dokumentation lesen, bevor Sie fortfahren.

Wenn Sie Receiver installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

  • /includeSSON

    Mit dieser Option wird die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer installiert, sodass Receiver mit IWA (Kerberos) die Authentifizierung bei StoreFront durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, die dann von der HDX Engine verwendet wird, wenn sie eine Remoteverbindung zwischen Smartcard-Hardware und -Anmeldeinformationen und XenDesktop herstellt. XenDesktop wählt automatisch ein Zertifikat von der Smartcard aus und ruft die PIN von der HDX Engine ab.

    Eine verwandte Option, ENABLE_SSON, ist standardmäßig aktiviert und sollte unverändert bleiben.

    Wenn eine Sicherheitsrichtlinie die Aktivierung von Single Sign-On auf einem Gerät verhindert, konfigurieren Sie Receiver mit der folgenden Richtlinie:

    Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > User authentication > Local user name and password

    Hinweis: In diesem Szenario lassen Sie zu, dass die HDX Engine Smartcard-Authentifizierung und nicht Kerberos verwendet. Verwenden Sie daher nicht die Option ENABLE_KERBEROS=Yes, mit der die HDX Engine zur Verwendung von Kerberos gezwungen wird.

Starten Sie Receiver auf dem Benutzergerät neu, um die Einstellungen zu übernehmen.

Konfigurieren von StoreFront

  • Stellen Sie in der Datei default.ica auf dem StoreFront-Server DisableCtrlAltDel auf falseein.
  • Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie das Kontrollkästchen Domänen-Passthrough. Mit dieser Einstellung wird die integrierte Windows-Authentifizierung aktiviert. Das Kontrollkästchen Smartcard muss nur aktiviert werden, wenn Sie auch Clients haben, die nicht in Domänen eingebunden sind und mit Smartcards eine Verbindung zu StoreFront herstellen.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Konfigurieren von Kerberos mit Passthrough-Authentifizierung

Dieser Abschnitt gilt nicht für XenDesktop-Verbindungen.

Verwenden Sie Kerberos mit Passthrough-Authentifizierung, wenn Sie Kerberos mit Receiver verwenden möchten.

Wenn Receiver für Kerberos mit Passthrough-Authentifizierung konfiguriert ist, wird zuerst eine Kerberos-Authentifizierung versucht und die Passthrough-Authentifizierung verwendet, wenn Kerberos fehlschlägt.

Der Benutzer kann diese Receiver-Konfiguration nicht in der Benutzeroberfläche deaktivieren.

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
  3. Klicken Sie im Menü Aktion auf Vorlagen hinzufügen/entfernen.
  4. Klicken Sie auf Hinzufügen, navigieren Sie zum Konfigurationsordner für Receiver (üblicherweise C:\Programme\Citrix\ICA Client\Configuration) und wählen Sie icaclient.adm aus.
  5. Klicken Sie auf Öffnen, um die Vorlage hinzuzufügen, und klicken Sie dann auf Schließen, um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie im Gruppenrichtlinien-Editor zu Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > User authentication > Kerberos authentication und wählen Sie Enabled.
  7. Navigieren Sie im Gruppenrichtlinien-Editor auf Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > User Authentication > Local user name and password.
  8. Klicken Sie im Menü Aktion auf Eigenschaften und wählen Sie Aktiviert > Enable pass-through authentication.

Schließen und starten Sie Receiver auf dem Benutzergerät neu, um die Einstellungen zu übernehmen.

Back to Top