Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Konfigurieren von Domänen-Passthrough-Authentifizierung mit Kerberos

Sep. 27, 2016

Dieser Abschnitt gilt nur für Verbindungen zwischen Citrix Receiver für Windows und StoreFront, XenDesktop oder XenApp.

Citrix Receiver für Windows unterstützt Kerberos für Domänen-Passthrough-Authentifizierung in Bereitstellungen mit Smartcardverwendung. Kerberos ist eine der in der integrierten Windows-Authentifizierung (IWA) enthaltenen Authentifizierungsmethoden.

Bei aktivierter Kerberos-Authentifizierung handhabt Kerberos die Authentifizierung ohne Kennwörter für Citrix Receiver für Windows und verhindert trojaner-artige Angriffe auf das Benutzergerät, um auf die Kennwörter zuzugreifen. Benutzer melden sich mit einer beliebigen Authentifizierungsmethode am Benutzergerät an, z. B. biometrische Authentifizierungsmethoden wie ein Fingerabdrucklesegerät, und greifen ohne weitere Authentifizierung auf veröffentlichte Ressourcen zu.

Wenn Citrix Receiver für Windows, StoreFront, XenDesktop und XenApp für Smartcard-Authentifizierung konfiguriert sind und ein Benutzer sich mit einer Smartcard anmeldet, handhabt Citrix Receiver für Windows die Passthrough-Authentifizierung mit Kerberos wie folgt:

  1. Der Single Sign-On-Dienst von Citrix Receiver für Windows erfasst die Smartcard-PIN.
  2. Citrix Receiver für Windows verwendet IWA (Kerberos) für die Authentifizierung des Benutzers bei StoreFront. StoreFront stellt Citrix Receiver für Windows Informationen zu den verfügbaren virtuellen Desktops und Apps bereit.
    Hinweis: Für diesen Schritt ist die Verwendung von Kerberos nicht erforderlich. Durch die Aktivierung von Kerberos auf Citrix Receiver für Windows wird lediglich eine weitere PIN-Eingabe vermieden. Wenn Sie die Kerberos-Authentifizierung nicht verwenden, führt Citrix Receiver für Windows mit den Smartcard-Anmeldeinformationen eine Authentifizierung bei StoreFront durch.
  3. Die HDX Engine (früher als ICA-Client bezeichnet) übergibt die Smartcard-PIN an XenDesktop oder XenApp, um den Benutzer an der Windows-Sitzung anzumelden. XenDesktop oder XenApp stellen dann die angeforderten Ressourcen bereit.

Stellen Sie zur Verwendung der Kerberos-Authentifizierung bei Citrix Receiver für Windows sicher, dass für die Kerberos-Konfiguration Folgendes gilt.

  • Kerberos funktioniert nur zwischen Citrix Receiver für Windows und Servern, die zu denselben oder vertrauenswürdigen Windows Server-Domänen gehören. Den Servern muss außerdem für Delegierungszwecke vertraut werden, eine Option, die Sie über das Verwaltungstool Active Directory-Benutzer und -Computer konfigurieren können.
  • Kerberos muss in der Domäne und in XenDesktop und XenApp aktiviert sein. Um hohe Sicherheit und die Verwendung von Kerberos zu gewährleisten, deaktivieren Sie alle IWA-Optionen außer Kerberos.
  • Kerberos-Anmeldung ist nicht verfügbar für Remotedesktopdienste-Verbindungen, die eine Standardauthentifizierung oder immer bestimmte Anmeldeinformationen verwenden oder die immer zur Eingabe des Kennworts auffordern.

Im Folgenden wird beschrieben, wie Sie Domänen-Passthrough-Authentifizierung für die häufigsten Szenarien konfigurieren. Wenn Sie von Webinterface auf StoreFront migrieren und zuvor eine benutzerdefinierte Authentifizierungslösung verwendet haben, erhalten Sie weitere Informationen von dem für Sie zuständigen Mitarbeiter des Citrix Support.

Warnung

Für einige der in diesem Abschnitt beschriebenen Konfigurationen muss die Registrierung bearbeitet werden. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die möglicherweise nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Konfigurieren der Domänen-Passthrough-Authentifizierung mit Kerberos für die Verwendung mit Smartcards

Wenn Sie mit Smartcard-Bereitstellungen in einer XenDesktop-Umgebung nicht vertraut sind, sollten Sie die Informationen zu Smartcards unter Sichern der Bereitstellung in der XenDesktop-Dokumentation lesen, bevor Sie fortfahren.

Wenn Sie Citrix Receiver für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

  • /includeSSON

    Mit dieser Option wird die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer installiert, sodass Citrix Receiver für Windows mit IWA (Kerberos) die Authentifizierung bei StoreFront durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, die dann von der HDX Engine verwendet wird, wenn sie eine Remoteverbindung zwischen Smartcard-Hardware und -Anmeldeinformationen und XenDesktop herstellt. XenDesktop wählt automatisch ein Zertifikat von der Smartcard aus und ruft die PIN von der HDX Engine ab.

    Eine verwandte Option, ENABLE_SSON, ist standardmäßig aktiviert und sollte unverändert bleiben.

    Wenn eine Sicherheitsrichtlinie die Aktivierung von Single Sign-On auf einem Gerät verhindert, konfigurieren Sie Citrix Receiver für Windows mit der folgenden Richtlinie:

    Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Receiver > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort

    Hinweis: In diesem Szenario lassen Sie zu, dass die HDX Engine Smartcard-Authentifizierung und nicht Kerberos verwendet. Verwenden Sie daher nicht die Option ENABLE_KERBEROS=Yes, mit der die HDX Engine zur Verwendung von Kerberos gezwungen wird.

Starten Sie Citrix Receiver für Windows auf dem Benutzergerät neu, um die Einstellungen zu übernehmen.

Konfigurieren von StoreFront

  • Legen Sie in der Datei default.ica auf dem StoreFront-Server DisableCtrlAltDel auf falsefest.
    Hinweis: Dieser Schritt ist nicht erforderlich, wenn auf allen Clientmaschinen Citrix Receiver für Windows 4.2 oder höher ausgeführt wird.
  • Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie das Kontrollkästchen Domänen-Passthrough. Mit dieser Einstellung wird die integrierte Windows-Authentifizierung aktiviert. Das Kontrollkästchen Smartcard muss nur aktiviert werden, wenn Sie auch Clients haben, die nicht in Domänen eingebunden sind und mit Smartcards eine Verbindung zu StoreFront herstellen.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Info über FastConnect-API und HTTP Basic-Authentifizierung

Die FastConnect-API verwendet die HTTP Basic-Authentifizierungsmethode, die oft mit den für Domänenpassthrough verwendeten Authentifizierungsmethoden Kerberos und IWA verwechselt wird. Citrix empfiehlt, dass Sie IWA auf StoreFront und in der ICA-Gruppenrichtlinie deaktivieren.

Back to Top