Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Konfigurieren der Smartcardauthentifizierung

Nov. 19, 2015

Receiver für Windows unterstützt die folgenden Features der Smartcard-Authentifizierung. Weitere Informationen zur XenDesktop- und StoreFront-Konfiguration finden Sie in der Dokumentation für diese Komponenten. In diesem Abschnitt wird die Konfiguration von Receiver für Windows für Smartcards beschrieben.

  • Passthrough-Authentifizierung (Single Sign-On): Die Passthrough-Authentifizierung erfasst Smartcard-Anmeldeinformationen, wenn sich Benutzer an Receiver anmelden. Receiver verwendet die erfassten Anmeldeinformationen wie folgt:
    • Benutzer von in Domänen eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen an Receiver anmelden, starten virtuelle Desktops und Anwendungen ohne erneute Authentifizierung.
    • Benutzer von nicht in Domänen eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen an Receiver anmelden, müssen zum Starten eines virtuellen Desktops oder einer Anwendung die Anmeldeinformationen erneut eingeben.

    StoreFront und Receiver müssen für die Passthrough-Authentifizierung konfiguriert werden.

  • Bimodale Authentifizierung: Bei der bimodalen Authentifizierung können Benutzer zwischen einer Smartcard und der Eingabe des Benutzernamens und des Kennworts wählen. Dieses Feature ist nützlich, wenn die Smartcard nicht verwendet werden kann (z. B. wenn sie vom Benutzer zu Hause vergessen wurde oder das Zertifikat abgelaufen ist). StoreFront und NetScaler Gateway müssen für die bimodale Authentifizierung konfiguriert werden.
  • Mehrere Zertifikate: Mehrere Zertifikate können für eine Smartcard verfügbar sein, wenn mehrere Smartcards verwendet werden. Wenn ein Benutzer eine Smartcard in einen Kartenleser einsteckt, stehen die Zertifikate für alle Awendungen zur Verfügung, die auf dem Benutzergerät ausgeführt werden, einschließlich Receiver. Konfigurieren Sie Receiver, um die Auswahl von Zertifikaten zu ändern.
  • Clientzertifikatauthentifizierung: NetScaler Gateway bzw. Access Gateway und StoreFront müssen für die Clientzertifikatauthentifizierung konfiguriert werden.
    • Für den Zugriff auf StoreFront-Ressourcen über NetScaler Gateway bzw. Access Gateway müssen Benutzer sich ggf. nach dem Entfernen der Smartcard neu authentifizieren.
    • Wenn die SSL-Konfiguration von NetScaler Gateway bzw. Access Gateway auf die verbindliche Clientzertifikatauthentifizierung eingestellt ist, ist der Betrieb sicherer. Die verbindliche Clientzertifikatauthentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.
  • Double-Hop-Sitzungen: Wenn ein Double Hop benötigt wird, wird eine weitere Verbindung zwischen Receiver und dem virtuellen Desktop des Benutzers hergestellt. Bereitstellungen, die Double Hop unterstützen, werden in der XenDesktop-Dokumentation beschrieben.
  • Smartcard-aktivierte Anwendungen: In smartcard-aktivierten Anwendungen, wie z. B. Microsoft Outlook und Microsoft Office, können Benutzer Dokumente, die in virtuellen Desktop- oder Anwendungssitzungen verfügbar sind, digital signieren oder verschlüsseln.

Voraussetzungen

In diesem Abschnitt wird davon ausgegangen, dass Sie mit den Smartcardabschnitten in der XenDesktop- und StoreFront-Dokumentation vertraut sind.

Einschränkungen

  • Zertifikate müssen auf einer Smartcard und nicht auf dem Benutzergerät gespeichert sein.
  • Receiver für Windows speichert nicht die PIN des Benutzers oder die Zertifikatauswahl.
  • Receiver für Windows verbindet keine Sitzungen wieder, wenn eine Smartcard eingesteckt wird.
  • Wenn Receiver für Windows für die Smartcard-Authentifizierung konfiguriert ist, wird VPN-Single Sign-On oder Sitzungsvorabstart nicht unterstützt. Für die Verwendung von VPN-Tunneln mit der Smartcard-Authentifizierung müssen Benutzer das NetScaler Gateway Plug-In installieren und sich über eine Webseite anmelden und sich mit den Smartcards und PINs an jedem Schritt authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem NetScaler Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
  • Die direkte Smartcard-Authentifizierung an App Controller wird nicht unterstützt. Sie können App Controller jedoch hinter StoreFront bereitstellen und den Zertifikatauthentifizierungsdienst von StoreFront verwenden. Web-Apps, die eine Clientzertifikatauthentifizierung verwenden, benötigen getrennte Smartcardaufforderungen, damit der Browser eine eigene SSL-Verbindung herstellt.
  • Die Kommunikation von Receiver für Windows Updater mit citrix.com u8nd Merchandising Server ist nicht mit der Smartcard-Authentifizierung an NetScaler Gateway kompatibel.
Achtung: Für einige der in diesem Abschnitt beschriebenen Konfigurationen muss die Registrierung bearbeitet werden. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Aktivieren von Single Sign-On für die Smartcard-Authentifizierung

Fügen Sie zum Konfigurieren von Receiver bei der Installation die folgende Befehlszeilenoption hinzu:

  • ENABLE_SSON=Yes

    Single Sign-On ist ein anderer Begriff für Passthrough-Authentifizierung. Wenn diese Einstellung aktiviert ist, zeigt Receiver keine zweite PIN-Eingabeaufforderung an.

Alternativ können Sie die Konfiguration über die folgenden Richtlinien- und Registrierungsänderungen ausführen:

  • Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > User authentication > Local user name and password
  • Stellen Sie SSONCheckEnabled auf false in einem der folgenden Registrierungsschlüssel ein, wenn die Single Sign-On-Komponente nicht installiert ist. Der Schlüssel verhindert, dass der Authentifizierungsmanager von Receiver nach der Single Sign-On-Komponente sucht, sodass Receiver die Authentifizierung bei StoreFront durchführen kann.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Konfigurieren von StoreFront

  • In der Datei default.ica, die sich auf dem StoreFront-Server befindet, legen Sie Set DisableCtrlAltDel auf false fest.
  • Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie das Kontrollkästchen Domänen-Passthrough und lassen Sie das Kontrollkästchen Smartcard deaktiviert.

    Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Aktivieren der Benutzergeräte für die Smartcardverwendung

  1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  2. Installieren Sie die kryptografische Middleware.
  3. Installieren und konfigurieren Sie Receiver für Windows.

Ändern der Zertifikatauswahl

Wenn mehrere Zertifikate gültig sind, fordert Receiver den Benutzer standardmäßig auf, ein Zertifikat aus der Liste auszuwählen. Sie können Receiver auch so konfigurieren, dass das Standardzertifikat (gemäß des Standardanbieters) oder das Zertifikat mit dem spätesten Ablaufdatum verwendet wird. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und kann eine alternative Anmeldemethode (falls vorhanden) verwenden.

Ein gültiges Zertifikat muss die drei folgenden Merkmale haben:

  • Die aktuelle Uhrzeit auf dem lokalen Computer liegt im Gültigkeitszeitraum des Zertifikats.
  • Der öffentliche Schlüssel des Subjekts muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024, 2048 oder 4096 Bits haben.
  • Die Schlüsselverwendung muss digitale Signatur enthalten.
  • Der alternative Name des Subjekts muss den UPN enthalten.
  • Die erweiterte Schlüsselverwendung muss Smartcard-Anmeldung und Clientauthentifizierung oder alle Schlüsselverwendungen enthalten.
  • Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss mit einem der Distinguished Names übereinstimmen, den der Server im SSL-Handshake sendet.

Ändern Sie mit einer der folgenden Methoden, wie Zertifikate ausgewählt weden:

  • Geben Sie an der Receiver-Befehlszeile die Option AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

    Aufforderung ist der Standard. Wenn mehrere Zertifikate die Anforderungen erfüllen, fordert Receiver für SmartCardDefault oder LatestExpiry den Benutzer zur Auswahl eines Zertifikats auf.

  • Fügen Sie den folgenden Schlüsselwert dem Registrierungsschlüssel HKCU oder HKLM\Software\[Wow6432Node\]Citrix\AuthManager: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry } zu.

    In HKCU definierte Werte haben Priorität über Werte in HKLM, um dem Benutzer die Auswahl des Zertifikats zu erleichtern.

Verwenden von CSP-PIN-Aufforderungen

Die PIN-Aufforderungen, die den Benutzern angezeigt werden, werden standardmäßig von Receiver und nicht von dem Smartcard-Kryptografiedienstanbieter bereitgestellt. Receiver fordert Benutzer bei Bedarf zur Eingabe einer PIN auf und übergibt die PIN den Smartcard-Kryptografiedienstanbieter. Wenn die Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. kein Zwischenspeichern der PIN pro Prozess oder pro Sitzung, können Sie in Receiver konfigurieren, dass die PIN-Eingabe, einschließlich der Aufforderung für eine PIN von den CSP-Komponenten verwaltet wird.

Ändern Sie mit einer der folgenden Methoden, wie die PIN-Eingabe gehandhabt wird:

  • Geben Sie an der Receiver-Befehlszeile die Option AM_SMARTCARDPINENTRY=CSP an.
  • Fügen Sie den folgenden Schlüsselwert dem Registrierungsschlüssel HKLM\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP hinzu.
Back to Top