Product Documentation

Konfigurieren der Smartcardauthentifizierung

Dec 06, 2016

Citrix Receiver für Windows unterstützt die folgenden Features der Smartcard-Authentifizierung. Weitere Informationen zur XenDesktop- und StoreFront-Konfiguration finden Sie in der Dokumentation für diese Komponenten. In diesem Abschnitt wird die Konfiguration von Citrix Receiver für Windows für Smartcards beschrieben.

  • Passthrough-Authentifizierung (Single Sign-On): Die Passthrough-Authentifizierung erfasst Smartcard-Anmeldeinformationen, wenn sich Benutzer an Citrix Receiver für Windows anmelden. Citrix Receiver für Windows verwendet die erfassten Anmeldeinformationen wie folgt:
    • Benutzer von in Domänen eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen an Citrix Receiver für Windows anmelden, starten virtuelle Desktops und Anwendungen ohne erneute Authentifizierung.
    • Benutzer von nicht in Domänen eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen an Citrix Receiver für Windows anmelden, müssen zum Starten eines virtuellen Desktops oder einer Anwendung die Anmeldeinformationen erneut eingeben.

    StoreFront und Citrix Receiver für Windows müssen für die Passthrough-Authentifizierung konfiguriert werden.

  • Bimodale Authentifizierung: Bei der bimodalen Authentifizierung können Benutzer zwischen einer Smartcard und der Eingabe des Benutzernamens und des Kennworts wählen. Dieses Feature ist nützlich, wenn die Smartcard nicht verwendet werden kann (z. B. wenn sie vom Benutzer zu Hause vergessen wurde oder das Zertifikat abgelaufen ist). Hierfür müssen dedizierte Stores pro Site eingerichtet werden, damit die Methode DisableCtrlAltDel zur Smartcardverwendung auf False festgelegt werden kann. Die bimodale Authentifizierung erfordert eine StoreFront-Konfiguration. Umfasst die Lösung NetScaler Gateway, muss auch dies konfiguriert werden.

    Die bimodale Authentifizierung ermöglicht dem StoreFront-Administrator nun außerdem das Anbieten der Authentifizierung über Benutzernamen/Kennwort und per Smartcard bei dem gleichen Store, indem er diese in der StoreFront Management Console auswählt. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

  • Mehrere Zertifikate: Mehrere Zertifikate können für eine Smartcard verfügbar sein, wenn mehrere Smartcards verwendet werden. Wenn ein Benutzer eine Smartcard in einen Kartenleser einsteckt, stehen die Zertifikate für alle Anwendungen zur Verfügung, die auf dem Benutzergerät ausgeführt werden, einschließlich Citrix Receiver für Windows. Konfigurieren Sie Citrix Receiver für Windows, um die Auswahl von Zertifikaten zu ändern.
  • Clientzertifikatauthentifizierung: NetScaler Gateway und StoreFront müssen für die Clientzertifikatauthentifizierung konfiguriert werden.
    • Für den Zugriff auf StoreFront-Ressourcen über NetScaler Gateway müssen Benutzer sich ggf. nach dem Entfernen der Smartcard neu authentifizieren.
    • Wenn die SSL-Konfiguration von NetScaler Gateway auf die verbindliche Clientzertifikatauthentifizierung eingestellt ist, ist der Betrieb sicherer. Die verbindliche Clientzertifikatauthentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.
  • Double-Hop-Sitzungen: Wenn ein Double Hop benötigt wird, wird eine weitere Verbindung zwischen Receiver und dem virtuellen Desktop des Benutzers hergestellt. Bereitstellungen, die Double Hop unterstützen, werden in der XenDesktop-Dokumentation beschrieben.
  • Smartcard-aktivierte Anwendungen: In smartcard-aktivierten Anwendungen, wie Microsoft Outlook und Microsoft Office, können Benutzer Dokumente, die in virtuellen Desktop- oder Anwendungssitzungen verfügbar sind, digital signieren oder verschlüsseln.

Voraussetzungen

In diesem Abschnitt wird davon ausgegangen, dass Sie mit den Smartcardabschnitten in der XenDesktop- und StoreFront-Dokumentation vertraut sind.

Einschränkungen

  • Zertifikate müssen auf einer Smartcard und nicht auf dem Benutzergerät gespeichert sein.
  • Die Zertifikatauswahl wird in Citrix Receiver für Windows nicht speichert, es kann jedoch die PIN gespeichert werden, wenn sie konfiguriert ist. Die PIN wird nur im nicht ausgelagerten Speicher für die Dauer der Benutzersitzung zwischengespeichert. Sie wird zu keinem Zeitpunkt auf der Festplatte gespeichert.
  • Citrix Receiver für Windows verbindet keine Sitzungen wieder, wenn eine Smartcard eingesteckt wird.
  • Wenn Citrix Receiver für Windows für die Smartcard-Authentifizierung konfiguriert ist, wird VPN-Single Sign-On oder Sitzungsvorabstart nicht unterstützt. Für die Verwendung von VPN-Tunneln mit der Smartcard-Authentifizierung müssen Benutzer das NetScaler Gateway Plug-In installieren und sich über eine Webseite anmelden und sich mit den Smartcards und PINs an jedem Schritt authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem NetScaler Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
  • Die Kommunikation von Citrix Receiver für Windows Updater mit citrix.com und Merchandising Server ist nicht mit der Smartcard-Authentifizierung an NetScaler Gateway kompatibel.

Warnung

Für einige der in diesem Abschnitt beschriebenen Konfigurationen muss die Registrierung bearbeitet werden. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Aktivieren von Single Sign-On für die Smartcard-Authentifizierung

Fügen Sie zum Konfigurieren von Citrix Receiver für Windows bei der Installation die folgende Befehlszeilenoption hinzu:

  • ENABLE_SSON=Yes

    Single Sign-On ist ein anderer Begriff für Passthrough-Authentifizierung. Wenn diese Einstellung aktiviert ist, zeigt Citrix Receiver für Windows keine zweite PIN-Eingabeaufforderung an.

Alternativ können Sie die Konfiguration über die folgenden Richtlinien- und Registrierungsänderungen ausführen:

  • Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Receiver > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort
  • Wenn die Single Sign-On-Komponente nicht installiert ist, legen Sie in einem der folgenden Registrierungsschlüssel die Option SSONCheckEnabled auf false fest. Der Schlüssel verhindert, dass der Authentifizierungsmanager von Citrix Receiver für Windows nach der Single Sign-On-Komponente sucht, sodass Citrix Receiver für Windows die Authentifizierung bei StoreFront durchführen kann.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Alternativ können Sie die Smartcardauthentifizierung bei StoreFront anstelle von Kerberos aktivieren. Zum Aktivieren der Smartcardauthentifizierung bei StoreFront anstelle von Kerberos installieren Sie Citrix Receiver für Windows mit den unten aufgeführten Befehlszeilenoptionen. Hierfür sind Administratorprivilegien erforderlich. Der Computer muss nicht in eine Domäne eingebunden sein.

  • /includeSSON installiert die Single Sign-On-Authentifizierung (Passthrough-Authentifizierung). Aktiviert das Zwischenspeichern der Anmeldeinformationen und die Verwendung der domänenbasierten Passthrough-Authentifizierung.
  • Meldet sich der Benutzer beim Endpunkt mit einer anderen Authentifizierungsmethode an (z. B. über den Benutzernamen und das Kennwort), verwenden Sie folgende Befehlszeile:
    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No
    

    Hierdurch wird verhindert, dass die Anmeldeinformationen bei der Anmeldung erfasst werden, und ermöglicht, dass die PIN durch Citrix Receiver für Windows bei der Anmeldung bei Citrix Receiver für Windows gespeichert wird.

  • Wechseln Sie zu Computerkonfiguration > Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Receiver > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.

    Passthrough-Authentifizierung aktivieren: Je nach Konfiguration und Sicherheitseinstellungen müssen Sie möglicherweise die Option Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen aktivieren, damit die Passthrough-Authentifizierung funktioniert.

Konfigurieren von StoreFront

  • Wenn Sie den Authentifizierungsdienst konfigurieren, aktivieren Sie das Kontrollkästchen Smartcard.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Aktivieren der Benutzergeräte für die Smartcardverwendung

  1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  2. Installieren Sie die kryptografische Middleware.
  3. Installieren und konfigurieren Sie Citrix Receiver für Windows.

Ändern der Zertifikatauswahl

Wenn mehrere Zertifikate gültig sind, fordert Citrix Receiver für Windows den Benutzer standardmäßig auf, ein Zertifikat aus der Liste auszuwählen. Sie können Citrix Receiver für Windows auch so konfigurieren, dass das Standardzertifikat (gemäß des Smartcard-Anbieters) oder das Zertifikat mit dem spätesten Ablaufdatum verwendet wird. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und kann eine alternative Anmeldemethode (falls vorhanden) verwenden.

Ein gültiges Zertifikat muss die drei folgenden Merkmale haben:

  • Die aktuelle Uhrzeit auf dem lokalen Computer liegt im Gültigkeitszeitraum des Zertifikats.
  • Der öffentliche Schlüssel des Subjekts muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024, 2048 oder 4096 Bits haben.
  • Die Schlüsselverwendung muss digitale Signatur enthalten.
  • Der alternative Name des Subjekts muss den UPN enthalten.
  • Die erweiterte Schlüsselverwendung muss Smartcard-Anmeldung und Clientauthentifizierung oder alle Schlüsselverwendungen enthalten.
  • Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss mit einem der Distinguished Names übereinstimmen, den der Server im TLS-Handshake sendet.

Ändern Sie mit einer der folgenden Methoden, wie Zertifikate ausgewählt werden:

  • Geben Sie an der Citrix Receiver für Windows-Befehlszeile die Option AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

    Prompt ist der Standard. Wenn mehrere Zertifikate die Anforderungen erfüllen, fordert Citrix Receiver für Windows für SmartCardDefault oder LatestExpiry den Benutzer zur Auswahl eines Zertifikats auf.

  • Fügen Sie den folgenden Schlüsselwert dem Registrierungsschlüssel HKCU oder HKLM\Software\[Wow6432Node\]Citrix\AuthManager: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry } zu.

    In HKCU definierte Werte haben Priorität über Werte in HKLM, um dem Benutzer die Auswahl des Zertifikats zu erleichtern.

Verwenden von CSP-PIN-Aufforderungen

Die PIN-Aufforderungen, die den Benutzern angezeigt werden, werden standardmäßig von Citrix Receiver für Windows und nicht von dem Smartcard-Kryptografiedienstanbieter bereitgestellt. Citrix Receiver für Windows fordert Benutzer bei Bedarf zur Eingabe einer PIN auf und übergibt die PIN an den Smartcard-Kryptografiedienstanbieter. Wenn die Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. kein Zwischenspeichern der PIN pro Prozess oder pro Sitzung, können Sie in Citrix Receiver für Windows konfigurieren, dass die PIN-Eingabe, einschließlich der Aufforderung für eine PIN von den CSP-Komponenten verwaltet wird.

Ändern Sie mit einer der folgenden Methoden, wie die PIN-Eingabe gehandhabt wird:

  • Geben Sie an der Citrix Receiver für Windows-Befehlszeile die Option AM_SMARTCARDPINENTRY=CSP an.
  • Fügen Sie den folgenden Schlüsselwert dem Registrierungsschlüssel HKLM\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP hinzu.