Authentifizierung mit Benutzernamen und Kennwort
Bei der Authentifizierung mit Benutzernamen und Kennwort geben die Benutzer ihre Active Directory-Anmeldeinformationen ein.
Um die Authentifizierung mit Benutzernamen und Kennwort für einen Store beim Zugriff über die Workspace-App zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden das Häkchen bei Benutzername und Kennwort.
Wenn Sie standardmäßig die Authentifizierung mit Benutzernamen und Kennwort für einen Store aktivieren, wird sie auch für alle Websites dieses Stores aktiviert. Sie können die Authentifizierung mit Benutzernamen und Kennwort für einzelne Websites auf der Registerkarte Receiver für Web-Sites verwalten > Authentifizierungsmethoden separat aktivieren oder deaktivieren.
Konfigurieren vertrauenswürdiger Benutzerdomänen
Sie können den Zugriff auf Stores auf Benutzer beschränken, die sich mit Anmeldeinformationen von bestimmten vertrauenswürdigen Domänen anmelden.
-
Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten “Stores” und im Ergebnisbereich die gewünschte Authentifizierungsmethode aus. Klicken Sie im Aktionsbereich auf Authentifizierungsmethoden verwalten.
-
Wählen Sie im Dropdownmenü Benutzername und Kennwort > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren aus.
-
Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in der Domäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienst verwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der Liste “Vertrauenswürdige Domänen” aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in der Domäne zu entfernen, wählen Sie eine Domäne in der Liste aus und klicken Sie auf Entfernen.
Die Art, in der Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügen Sie der Liste den NetBIOS-Namen hinzu. Sollen die Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie der Liste den vollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihre Anmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch im Format des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste den NetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.
-
Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der Liste Standarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzer sich anmelden.
-
Sollen die vertrauenswürdigen Domänen auf der Anmeldeseite aufgelistet werden, klicken Sie auf das Kontrollkästchen “Domänenliste auf Anmeldeseite anzeigen”.
Kennwortänderung durch Benutzer zulassen
Sie können zulassen, dass die Benutzer ihre Kennwörter zu einer beliebigen Zeit ändern. Alternativ können Sie die Kennwortänderung auf Benutzer beschränken, deren Kennwort abgelaufen ist. So können Sie sicherstellen, dass Benutzern nie der Zugriff auf ihre Desktops und Anwendungen verweigert wird, weil ein Kennwort abgelaufen ist.
Die Funktion zum Ändern des Kennworts ist in den folgenden Clients verfügbar:
| Citrix Workspace-App | Benutzer kann ein abgelaufenes Kennwort ändern, sofern in StoreFront aktiviert | Benutzer wird benachrichtigt, dass das Kennwort abläuft | Benutzer kann das Kennwort vor Ablaufen ändern, sofern in StoreFront aktiviert |
|---|---|---|---|
| Windows | Ja | ||
| Mac | Ja | ||
| Android | |||
| iOS | |||
| Linux | Ja | ||
| Web | Ja | Ja | Ja |
Die Standardkonfiguration verhindert, dass Benutzer der Citrix Workspace-App bzw. eines Webbrowsers ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.
Wenn Sie zulassen, dass die Benutzer ihre Kennwörter jederzeit ändern können, wird lokalen Benutzern, deren Kennwörter bald ablaufen, beim Anmelden eine Warnung angezeigt. Standardmäßig hängt der Benachrichtigungszeitraum von der entsprechenden Windows-Richtlinieneinstellung ab. Alternativ können Sie einen eigenen Benachrichtigungszeitraum konfigurieren.
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdownmenü Benutzername und Kennwort > Einstellungen die Option Kennwortoptionen verwalten.
-
Damit die Benutzer ihre Kennwörter ändern können, aktivieren Sie das Kontrollkästchen Benutzer dürfen Kennwort ändern.
Hinweis: Wenn Sie diese Option nicht auswählen, müssen Sie Benutzern unterstützen, die keinen Zugriff auf ihre Desktops und Anwendungen haben, weil das Kennwort abgelaufen ist.
-
Wählen Sie aus, ob die Benutzer Kennwörter Nur beim Ablaufen oder Jeder Zeit ändern können sollen.
-
Wählen Sie aus, ob die Benutzer vor Ablauf des Kennworts erinnert werden sollen.
Hinweis 1:
StoreFront unterstützt keine differenzierte Kennwortrichtlinie in Active Directory.
Hinweis 2:
Stellen Sie sicher, dass auf den StoreFront-Servern ausreichend Speicherplatz zum Speichern aller Benutzerprofile vorhanden ist. Um zu prüfen, ob das Kennwort eines Benutzers bald abläuft, erstellt StoreFront ein lokales Profil für den Benutzer auf dem Server. StoreFront muss eine Verbindung mit dem Domänencontroller herstellen können, um die Kennwörter der Benutzer zu ändern.
Hinweis 3:
Wenn Sie das jederzeit mögliche Ändern von Kennwörtern aktivieren oder deaktivieren, wirkt sich dies auch auf die Einstellungen unter Kennwortoptionen verwalten für die Passthrough-Authentifizierung von Citrix Gateway aus.
Kennwort der Anmeldeinformationen überprüfen
Normalerweise kommuniziert StoreFront direkt mit Active Directory, um Anmeldeinformationen zu überprüfen.
Wenn StoreFront nicht in der gleichen Domäne wie Citrix Virtual Apps and Desktops ist und keine Active Directory-Vertrauensstellungen eingerichtet werden können, können Sie StoreFront zur Verwendung der Delivery Controller von Citrix Virtual Apps and Desktops für die Authentifizierung der Anmeldeinformationen konfigurieren:
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdownmenü Benutzername und Kennwort > Einstellungen die Option Kennwortvalidierung konfigurieren.
-
Wählen Sie in der Liste Kennwörter validieren mit die Option Delivery Controller und klicken Sie auf Konfigurieren.
-
Folgen Sie den Anweisungen auf den Seiten Delivery Controller konfigurieren, um mindestens einen Delivery Controller zum Validieren der Benutzeranmeldeinformationen hinzuzufügen und klicken Sie auf OK.
Active Directory verwenden
- Wählen Sie auf der Seite Authentifizierungsmethoden verwalten in der Liste Benutzername und Kennwort > Einstellungen die Option Kennwortvalidierung konfigurieren.
- Wählen Sie im Dropdownmenü Kennwörter validieren mit die Option Active Directory und klicken Sie auf Konfigurieren.
Single Sign-On auf VDAs
Wenn Benutzer eine Ressource starten, verwendet StoreFront die Anmeldeinformationen, mit denen sich der Benutzer am Store angemeldet hat, für Single Sign-On bei den VDAs.
Anmeldebildschirm anpassen
Der Anmeldebildschirm wird aus einer Vorlage generiert, die sich normalerweise unter C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm befindet. Sie können den Bildschirm anpassen.
Titeltext
Wenn sich Benutzer der Citrix Workspace-App an einem Store anmelden, wird standardmäßig kein Titeltext im Anmeldedialogfeld angezeigt. Sie können den Text “Melden Sie sich an” oder eine eigene benutzerdefinierte Meldung anzeigen.
-
Verwenden Sie einen Texteditor, um die Datei UsernamePassword.tfrm für den Authentifizierungsdienst zu öffnen.
-
Suchen Sie die folgenden Zeilen in der Datei.
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
Heben Sie die Auskommentierung auf für die Anweisung auf, indem Sie an Anfang und Ende @* entfernen und am Ende *@.
@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->Citrix Workspace-App-Benutzern wird der Titeltext “Melden Sie sich an” oder die entsprechende lokalisierte Version dieses Texts angezeigt, wenn sie sich an Stores anmelden, die diesen Authentifizierungsdienst verwenden.
-
Um den Titeltext zu ändern, öffnen Sie mit einem Texteditor die Datei ExplicitFormsCommon.xx.resx für den Authentifizierungsdienst (normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\).
-
Suchen Sie die folgenden Elemente in der Datei. Bearbeiten Sie den vom <value>-Element umschlossenen Text, um den Titeltext zu ändern, der Benutzern im Citrix Workspace-App-Anmeldedialogfeld angezeigt wird, wenn sie auf Stores zugreifen, die diesen Authentifizierungsdienst verwenden.
<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->Um den Titeltext des Anmeldedialogfelds für Benutzer mit einem anderen Gebietsschema zu ändern, bearbeiten Sie die lokalisierten Dateien ExplicitAuth.languagecode.resx, wobei languagecode die Gebietsschema-ID ist.
Zwischenspeicherung von Kennwörtern und Benutzernamen in Citrix Workspace-App für Windows deaktivieren
Standardmäßig speichert die Citrix Workspace-App für Windows die Kennwörter von Benutzern, wenn sie sich bei StoreFront-Stores anmelden. Um zu verhindern, dass die Citrix Workspace-App für Windows Benutzerkennwörter zwischenspeichert, bearbeiten Sie die Dateien für den Authentifizierungsdienst.
-
Verwenden Sie einen Texteditor, um die Datei inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm zu öffnen.
-
Suchen Sie die folgende Zeile in der Datei.
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
Kommentieren Sie die Anweisung wie unten gezeigt.
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->Die Benutzer müssen ihre Kennwörter jedes Mal eingeben, wenn sie sich bei einem Store mit diesem Authentifizierungsdienst anmelden.
Standardmäßig verwendet Citrix Workspace für Windows automatisch den zuletzt eingegebenen Benutzernamen. Informationen zum Unterdrücken des Ausfüllens des Benutzernamenfelds bzw. zu einer alternativen Methode zum Unterdrücken der Kennwortzwischenspeicherung finden Sie unter Zwischenspeicherung von Kennwörtern und Benutzernamen in Citrix Workspace-App für Windows deaktivieren.
Remotezugriff über Citrix Gateway
Sie können Ihr Citrix Gateway so konfigurieren, dass sich Benutzer mit ihrem Domänenbenutzernamen und Kennwort am Gateway anmelden. Diese Anmeldeinformationen werden an StoreFront weitergeleitet, um sich beim Store anzumelden. Informationen zur Konfiguration Ihres Citrix-Gateways für die Authentifizierung mit LDAP-Benutzernamen und -Kennwort finden Sie in der NetScaler-Dokumentation − LDAP-Authentifizierung. Informationen zur Konfiguration von StoreFront finden Sie unter Passthrough von Citrix Gateway.
In diesem Artikel
- Konfigurieren vertrauenswürdiger Benutzerdomänen
- Kennwortänderung durch Benutzer zulassen
- Kennwort der Anmeldeinformationen überprüfen
- Single Sign-On auf VDAs
- Anmeldebildschirm anpassen
- Zwischenspeicherung von Kennwörtern und Benutzernamen in Citrix Workspace-App für Windows deaktivieren
- Remotezugriff über Citrix Gateway