Product Documentation

Konfigurieren der Smartcardauthentifizierung

Jul 07, 2016

Dieser Abschnitt bietet einen Überblick über die Aufgaben zum Einrichten der Smartcardauthentifizierung für alle Komponenten in einer typischen StoreFront-Bereitstellung. Weitere Informationen und schrittweise Anweisungen zur Konfiguration finden Sie in der Dokumentation für die einzelnen Produkte.

Voraussetzungen

  • Stellen Sie sicher, dass die Konten für alle Benutzer entweder in der Microsoft Active Directory-Domäne konfiguriert werden, in der Sie die StoreFront-Server bereitstellen, oder in einer Domäne, die eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne hat.
  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards aktivieren möchten, müssen Sie sicherstellen, dass die Smartcardleser, die Art und Konfiguration der Middleware und die Richtlinie für das Zwischenspeichern von Middleware-PINs dies gestatten.
  • Installieren Sie die Smartcard-Middleware des Herstellers auf den virtuellen oder physischen Maschinen, auf denen Virtual Delivery Agent zur Bereitstellung von Desktops und Anwendungen ausgeführt wird. Weitere Informationen zur Verwendung von Smartcards mit XenDesktop finden Sie unter Sicheres Authentifizieren mit Smartcards.
  • Bevor Sie fortfahren, vergewissern Sie sich, dass die Public Key-Infrastruktur richtig konfiguriert ist. Prüfen Sie die ordnungsgemäße Konfiguration der Zertifikat-/Kontenzuordnung für die Active Directory-Umgebung und ob die Zertifikatüberprüfung erfolgreich ausgeführt werden kann.

Konfigurieren von NetScaler Gateway

  • Installieren Sie auf dem NetScaler Gateway-Gerät ein signiertes Serverzertifikat von einer Zertifizierungsstelle. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten.
  • Installieren Sie auf dem Gerät das Stammzertifikat der Zertifizierungsstelle, die die Smartcardbenutzerzertifikate ausstellt. Weitere Informationen finden Sie unter To install a root certificate on NetScaler Gateway.
  • Erstellen und konfigurieren Sie einen virtuellen Server für die Clientzertifikatauthentifizierung. Erstellen Sie eine Richtlinie für die Zertifikatauthentifizierung mit SubjectAltName:PrincipalName als Benutzernamenextrahierung aus dem Zertifikat. Binden Sie dann die Richtlinie an den virtuellen Server und konfigurieren Sie den virtuellen Server zum Anfordern von Clientzertifikaten. Weitere Informationen finden Sie unter Configuring and Binding a Client Certificate Authentication Policy.
  • Binden Sie das Zertifizierungsstellen-Stammzertifikat an den virtuellen Server. Weitere Informationen finden Sie unter To add a root certificate to a virtual server.
  • Sie können sicherstellen, dass Benutzer beim Herstellen einer Verbindung zu ihren Ressourcen nicht ein weiteres Mal vom virtuellen Server aufgefordert werden, ihre Anmeldeinformationen einzugeben, indem Sie einen zweiten virtuellen Server erstellen. Wenn Sie den virtuellen Server erstellen, deaktivieren Sie die Clientauthentifizierung in den SSL-Parametern (Secure Sockets Layer). Weitere Informationen finden Sie unter Konfigurieren der Smartcardauthentifizierung.

    Sie müssen auch StoreFront so konfigurieren, dass Benutzerverbindungen zu Ressourcen über diesen zusätzlichen virtuellen Server geleitet werden. Benutzer melden sich beim ersten virtuellen Server an und der zweite virtuelle Server wird für Verbindungen zu ihren Ressourcen verwendet. Wenn die Verbindung hergestellt ist, brauchen Benutzer sich nicht bei NetScaler Gateway zu authentifizieren. Sie müssen bei der Anmeldung an ihren Desktops und Anwendungen jedoch ihre PIN eingeben. Das Konfigurieren eines zweiten virtuellen Servers für Verbindungen zu Ressourcen ist optional, sofern Sie nicht planen, allen Benutzern bei Problemen mit der Smartcard den Rückgriff auf die explizite Authentifizierung zu gestatten.

  • Erstellen Sie Sitzungsrichtlinien und Profile für Verbindungen von NetScaler Gateway zu StoreFront und binden Sie diese an den geeigneten virtuellen Server. Weitere Informationen finden Sie unter Access to StoreFront Through NetScaler Gateway.
  • Wenn Sie den virtuellen Server für Verbindungen mit StoreFront so konfiguriert haben, dass eine Clientzertifikat-Authentifizierung für die gesamte Kommunikation erforderlich ist, müssen Sie einen weiteren virtuellen Server zum Bereitstellen der Callback-URL für StoreFront erstellen. Dieser virtuelle Server wird nur von StoreFront verwendet, um Anforderungen vom NetScaler Gateway-Gerät zu überprüfen. Daher muss er nicht öffentlich zugänglich sein. Ein eigener virtueller Server ist erforderlich, wenn die Clientzertifikat-Authentifizierung obligatorisch ist, da StoreFront kein Zertifikat für die Authentifizierung vorlegen kann. Weitere Informationen finden Sie unter Creating Virtual Servers.

Konfigurieren von StoreFront

  • Sie müssen HTTPS für die Kommunikation zwischen StoreFront und Benutzergeräten verwenden, um die Smartcardauthentifizierung zu aktivieren. Konfigurieren Sie Microsoft-Internetinformationsdienste (IIS) für HTTPS, indem Sie ein SSL-Zertifikat in IIS beziehen und dann die HTTPS-Bindung zu der Standardwebsite hinzufügen. Weitere Informationen zum Erstellen eines Serverzertifikats in IIS finden Sie unter http://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate. Weitere Informationen über das Hinzufügen von HTTPS-Bindung zu einer IIS-Website finden Sie unter http://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding.
  • Wenn Sie möchten, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs präsentiert werden, konfigurieren Sie IIS auf dem StoreFront-Server.

    Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in IIS nur, dass Clientzertifikate für HTTPS-Verbindungen mit der URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiert werden. Diese Konfiguration ist erforderlich, damit Smartcardbenutzer auf die explizite Authentifizierung zurückgreifen können und, mit den entsprechenden Windows-Richtlinieneinstellungen, damit Benutzer ihre Smartcard entfernen können, ohne sich neu authentifizieren zu müssen.

    Wenn IIS so konfiguriert ist, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs erforderlich sind, können Benutzer von Smartcards keine Verbindung über NetScaler Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards aus Geräten entfernen. Zum Aktivieren dieser IIS-Sitekonfiguration müssen Authentifizierungsdienst und Stores auf demselben Server sein und es muss ein Clientzertifikat verwendet werden, das für alle Stores gilt. Die Konfiguration, bei der IIS Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs benötigt, verursacht einen Konflikt mit der Authentifizierung für Receiver für Web-Clients. Aus diesem Grund sollte diese Konfiguration nur verwendet werden, wenn Receiver für Web-Clientzugriff nicht erforderlich ist.

    Wenn Sie StoreFront auf Windows Server 2012 installieren, wird nicht selbstsignierten Zertifikaten, die im Zertifikatspeicher der vertrauenswürdigen Zertifizierungsstellen auf dem Server installiert sind, nicht vertraut, wenn IIS für die Verwendung von SSL und Clientzertifikatauthentifizierung konfiguriert ist. Weitere Informationen finden hierzu Sie unter http://support.microsoft.com/kb/2802568.

  • Installieren und konfigurieren Sie StoreFront. Erstellen Sie den Authentifizierungsdienst und fügen Sie Ihre Stores wie erforderlich hinzu. Wenn Sie Remotezugriff über NetScaler Gateway konfigurieren, aktivieren Sie nicht die VPN-Integration (virtuelles privates Netzwerk). Weitere Informationen finden Sie unter Installieren und Einrichten von StoreFront.
  • Aktivieren Sie die Smartcardauthentifizierung bei StoreFront für lokale Benutzer im internen Netzwerk. Für Smartcardbenutzer, die auf Stores über NetScaler Gateway zugreifen, aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway und stellen Sie sicher, dass StoreFront so konfiguriert ist, dass die Überprüfung der Anmeldeinformationen an NetScaler Gateway delegiert wird. Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn Sie Receiver für Windows auf in Domänen eingebundenen Benutzergeräten installieren, aktivieren Sie die Domänen-Passthrough-Authentifizierung. Weitere Informationen finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.

    Für die Receiver für Web-Clientauthentifizierung mit Smartcards müssen Sie die Authentifizierungsmethode über Receiver für Web-Site aktivieren. Weitere Informationen finden Sie in den Anweisungen unter Konfigurieren von Receiver für Web-Sites.

    Wenn Sie Smartcardbenutzern gestatten möchten, bei Problemen mit der Smartcard auf die explizite Authentifizierung zurückzugreifen, deaktivieren Sie die Authentifizierung über Benutzernamen und Kennwort nicht. Weitere Informationen zu Benutzergeräten, bei denen ein Rückgriff auf die explizite Authentifizierung verfügbar ist, finden Sie unter Verwenden von Smartcards mit StoreFront.

  • Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn Sie Receiver für Windows auf domänengebundenen Benutzergeräten installieren, bearbeiten Sie die Datei default.ica für den Store, um den Passthrough der Smartcardanmeldeinformationen bei Zugriff auf Desktops und Anwendungen zu ermöglichen. Weitere Informationen finden Sie unter Aktivieren von Passthrough mit Smartcardauthentifizierung für alle Receiver für Windows.
  • Wenn Sie einen zusätzlichen virtuellen Server für NetScaler Gateway erstellt haben, der ausschließlich für Verbindungen zu Ressourcen verwendet werden soll, konfigurieren Sie das optimale NetScaler Gateway-Routing über diesen virtuellen Server für Verbindungen mit den Bereitstellungen von Desktops und Anwendungen für den Store. Weitere Informationen finden Sie unter Konfigurieren des optimalen NetScaler Gateway-Routings für einen Store mit PowerShell.
  • Damit Benutzer nicht domänengebundener Windows-Desktopgeräte sich bei ihren Desktops mit Smartcards anmelden können, aktivieren Sie die Smartcardauthentifizierung bei den Desktopgerätesites. Weitere Informationen finden Sie unter Konfigurieren von Desktopgerätesites.

    Konfigurieren Sie die Desktopgerätesite für Smartcard- und explizite Authentifizierung, damit sich Benutzer bei einem Problem mit der Smartcard mit expliziten Anmeldeinformationen anmelden können.

  • Damit Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, sich mit Smartcards authentifizieren können, aktivieren Sie die Passthrough-Authentifizierung mit Smartcards für die XenApp Services-URLs. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für XenApp Services-URLs.

Konfigurieren von Benutzergeräten

  • Stellen Sie sicher, dass die Smartcard-Middleware des Herstellers auf allen Benutzergeräten installiert ist.
  • Installieren Sie für Benutzer nicht domänengebundener Windows-Desktopgeräte Citrix Receiver für Windows Enterprise mit einem Konto mit Administratorrechten. Konfigurieren Sie Internet Explorer so, dass die Anwendung im Vollbildmodus gestartet und die Desktopgerätesite angezeigt wird, wenn das Gerät eingeschaltet ist. Beachten Sie, dass bei Desktopgerätesite-URLs zwischen Groß- und Kleinschreibung unterschieden wird. Fügen Sie die Desktopgerätesite der Zone "Lokales Intranet" oder "Vertrauenswürdige Sites" in Internet Explorer hinzu. Nachdem Sie geprüft haben, dass Sie sich bei der Desktopgerätesite mit einer Smartcard anmelden und auf Ressourcen aus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sie unter Installieren von Desktop Lock.
  • Installieren Sie für Benutzer domänengebundener Desktopgeräte und für Benutzer umfunktionierter PCs Citrix Receiver für Windows Enterprise mit einem Konto mit Administratorrechten. Konfigurieren Sie Receiver für Windows mit der XenApp Services-URL für den entsprechenden Store. Nachdem Sie geprüft haben, dass Sie sich bei dem Gerät mit einer Smartcard anmelden und auf Ressourcen aus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sie unter Installieren von Desktop Lock.
  • Für alle anderen Benutzer installieren Sie die entsprechende Version von Citrix Receiver auf dem Benutzergerät. Zum Aktivieren des Passthrough von Smartcardanmeldeinformationen zu XenDesktop und XenApp für Benutzer domänengebundener Geräte verwenden Sie ein Konto mit Administratorrechten für die Installation von Receiver für Windows an einer Eingabeaufforderung mit der Option /includeSSON. Weitere Informationen finden Sie unter Konfigurieren und Installieren von Receiver für Windows mit Befehlszeilenparametern.

    Stellen Sie sicher, dass Receiver für Windows für die Smartcardauthentifizierung über eine Domänenrichtlinie oder eine lokale Computerrichtlinie konfiguriert wurde. Für eine Domänenrichtlinie importieren Sie mit der Gruppenrichtlinien-Verwaltungskonsole die Gruppenrichtlinienobjektvorlage icaclient.adm für Receiver für Windows auf den Controller der Domäne, in der die Benutzerkonten sind. Zum Konfigurieren eines einzelnen Geräts konfigurieren Sie mit dem Gruppenrichtlinienobjekt-Editor auf dem Gerät die Vorlage. Weitere Informationen finden Sie unter Konfigurieren von Receiver mit der Gruppenrichtlinienobjektvorlage.

    Aktivieren Sie die Richtlinie Smartcardauthentifizierung. Zum Gestatten von Passthrough der Smartcardanmeldeinformationen wählen Sie Use pass-through authentication for PIN. Damit die Smartcardanmeldeinformationen an XenDesktop und XenApp weitergeleitet werden, aktivieren Sie dann die Richtlinie Local user name and password und wählen Sie die Option Allow pass-through authentication for all ICA connections. Weitere Informationen finden Sie in der Referenz zu ICA-Einstellungen.

    Wenn Sie Passthrough von Smartcardanmeldeinformationen an XenDesktop und XenApp für Benutzer domänengebundener Geräte aktiviert haben, fügen Sie die Store-URL der Zone "Lokales Intranet" oder "Vertrauenswürdige Sites" in Internet Explorer hinzu. Stellen Sie sicher, dass Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort in den Sicherheitseinstellungen der Zone ausgewählt ist.

  • Wo nötig, stellen Sie Benutzern die Verbindungsinformationen für den Store (Benutzer im internen Netzwerk) oder das NetScaler Gateway-Gerät (für Remotebenutzer) mit einer entsprechenden Methode zur Verfügung. Weitere Informationen über die Bereitstellung von Konfigurationsinformationen für die Benutzer finden Sie unter Citrix Receiver.

Aktivieren von Passthrough mit Smartcardauthentifizierung für Receiver für Windows

Sie können die Passthrough-Authentifizierung aktivieren, wenn Sie Receiver für Windows auf Benutzergeräten installieren, die in der Domäne sind. Bearbeiten Sie die Datei default.ica für den Store, um Passthrough der Smartcardanmeldeinformationen des Benutzers beim Zugriff auf Desktops und Anwendungen zu aktivieren, die von XenDesktop und XenApp gehostet werden.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei default.ica für den Store mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\App_Data\, wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.
  2. Um Passthrough der Smartcardanmeldeinformationen für Benutzer zu aktivieren, die ohne NetScaler Gateway auf Stores zugreifen, fügen Sie dem Abschnitt [Application] die folgenden Einstellung hinzu.
    DisableCtrlAltDel=Off

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

  3. Um Passthrough der Smartcardanmeldeinformationen für Benutzer zu aktivieren, die über NetScaler Gateway auf Stores zugreifen, fügen Sie dem Abschnitt [Application] die folgenden Einstellung hinzu.
    UseLocalUserAndPassword=On

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für bestimmte Benutzer zu aktivieren, während andere sich anmelden müssen, um auf ihre Desktops und Anwendungen zuzugreifen, müssen Sie für jede Gruppe von Benutzern verschiedenen Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.