Product Documentation

Konfigurieren der Smartcardauthentifizierung

Sep 18, 2015
VDI-in-a-Box unterstützt die Smartcardauthentifizierung, d. h. Benutzer können sich mit einem Smartcardleser an virtuellen Desktops anmelden. Zur Anmeldung stecken Benutzer eine Smartcard in das Smartcardlesegerät und geben die Smartcard-PIN ein. Wenn Benutzer ihre Smartcard während einer Sitzung entfernen, werden sie zur Abmeldung gezwungen.

Voraussetzungen

  • Installieren Sie den Gerätetreiber für die Smartcard auf dem Entwurfsimage, bevor Sie das Image veröffentlichen und Desktops mit ihm bereitstellen.
  • Wählen Sie das Kontrollkästchen Smart cards für die Vorlage wie unten beschrieben aus.
  • Active Directory:
    • Das VDI-in-a-Box-Raster und die Desktops müssen zur selben Domäne gehören.
    • Konfigurieren Sie die Gruppenrichtlinie für das Verhalten beim Entfernen der Smartcard. Sie können beispielsweise festlegen, dass die Benutzerabmeldung vom Benutzergerät erzwungen wird, wenn die Smartcard entfernt wird. Dies stellt sicher, dass Citrix Receiver entladen und für die weitere Verwendung zurückgesetzt wird.
  • Benutzergerätanforderungen:
    • Unterstütztes, auf Windows basierendes Betriebssystem
    • Wenn die Geräte direkt mit VDI Manager verbunden sind, müssen sie in derselben Domäne wie das Raster und die Desktops sein. Receiver Enterprise muss installiert und mit der PNAgent-Adresse von VDI Manager wie folgt konfiguriert sein: http(s)://vdiManagerIP-oder-hostname/dt/PNAgent/config.xml. Ob Sie HTTP oder HTTPS verwenden und wie Sie den VDI Manager angeben, hängt von der verwendeten Receiver-Version ab.

      Die Geräte können in einer anderen Organisationseinheit (OU) als die Desktops sein.

    • Wenn die Geräte über StoreFront 2.x Verbindungen herstellen sollen, muss Receiver 4.x auf ihnen installiert sein. Konfigurieren Sie den Store von StoreFront für die Passthrough-Authentifizierung mit Smartcards. Die Geräte können sich in derselben Domäne wie das Raster und die Desktops befinden oder sie können einer Arbeitsgruppe angehören.
    Hinweis: Weitere Informationen zur Verwendung von Smartcards in einer Umgebung, in der Benutzergeräte nicht zur Active Directory-Domäne gehören können (z. B. Nicht-Windows-Thin Clients) finden Sie im Abschnitt "So konfigurieren Sie die Smartcard-Authentifizierung für Nicht-Windows-Benutzergeräte" weiter unten, in dem auch die Beschränkungen für diesen Typ der Konfiguration beschrieben werden.

So konfigurieren Sie die Smartcard-Authentifizierung für Windows-Benutzergeräte

  1. Planen Sie die für die Smartcardauthentifizierung benötigten Vorlagen. Desktops, die auf einer Vorlage basieren, die für Smartcards konfiguriert wurde, benötigen eine Smartcard für den Zugriff. Benutzern, die versuchen, sich mit solchen Desktops ohne Smartcard zu verbinden, wird der Zugriff verweigert.
  2. Erstellen Sie eine oder mehrere Vorlagen, die für Smartcards konfiguriert sind:
    1. Klicken Sie auf die Registerkarte Templates und dann auf den Link Add.
    2. Geben Sie im Assistenten Create a New Desktop Template die Informationen wie gewohnt ein.
    3. Aktivieren Sie das Kontrollkästchen Smart cards.



    4. Klicken Sie auf Proceed und dann auf Next.
    5. Geben Sie die Vorlagenrichtlinien ein und klicken Sie dann auf Save.
  3. Weisen Sie den neuen Vorlagen Benutzer oder Gruppen zu. Die Informationen dieser Benutzer und Gruppen müssen in ihren Smartcards eingebettet sein. Weitere Informationen finden Sie unter Zuweisen von Vorlagen für Benutzer, Gruppen und IP-Adressen.
  4. Wenn die Geräte eine direkte Verbindung mit VDI Manager herstellen sollen, konfigurieren Sie Citrix Receiver Enterprise auf den Benutzergeräten: Öffnen Sie Receiver, wählen Sie Serveroptionen und wählen Sie für Anmeldemodus die Option Passthrough-Authentifizierung aus. Wenn die Geräte über StoreFront eine Verbindung herstellen, konfigurieren Sie StoreFront für Passthrough-Authentifizierung mit Smartcards, indem Sie "LogonMethod" auf "smartcard_sson" festlegen. Konfigurieren Sie Receiver 4.x auf den Geräten, sodass sie auf den StoreFront-Store verweisen. Wenn ein Benutzer seine Smartcard in den Leser steckt, liest Receiver automatisch den Benutzernamen und der Benutzer muss zur Anmeldung nur seine PIN eingeben.
  5. Testen Sie die Smartcard-Authentifizierung für Benutzergeräte:
    • Bei einem Gerät, das eine direkte Verbindung zu VDI Manager herstellt, legen Sie eine Smartcard in den Leser ein und geben Sie die PIN ein, um sich beim Gerät anzumelden. Sie sollten dann Desktops starten können, ohne die PIN erneut eingeben zu müssen.
    • Bei einem Gerät, das eine Verbindung über StoreFront herstellt, legen Sie eine Smartcard in den Leser ein und geben Sie die PIN ein, um sich beim Gerät anzumelden. Sie sollten dann Desktops starten können, ohne die PIN erneut eingeben zu müssen. Wenn Sie sich bei dem Gerät mit Ihrem Benutzernamen und Kennwort anmelden, müssen Sie zum Starten von Desktops Ihre Smartcard-PIN eingeben.

So konfigurieren Sie die Smartcardauthentifizierung für Nicht-Windows-Benutzergeräte

  1. Importieren Sie das Image, auf dem die Vorlage basiert.
  2. Aktivieren Sie beim Bearbeiten des Image den eigenständigen Modus des Image. Bearbeiten Sie den folgenden Registrierungseintrag (Typ: REG_DWORD): ForceVdaStandaloneMode. Stellen Sie den Wert zum Aktivieren des eigenständigen Modus auf 1. Für x86 befindet sich der Eintrag unter HKLM\SOFTWARE\Citrix\VDI\HDX Connector Service. Für x64 befindet sich der Eintrag unter HKLM\SOFTWARE\Wow6432Node\Citrix\VDI\HDX Connector Service.
    Achtung: Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.
  3. Erstellen Sie einen generischen Benutzer in Active Directory mit einem komplexen Kennwort.
  4. Klicken Sie in der VDI Manager-Konsole auf Admin und dann auf Advanced Properties.
  5. Wählen Sie Enable generic user und Require users to re-enter username and password on Windows logon screen.
  6. Weisen Sie nach dem Erstellen der Vorlage (vergessen Sie nicht, das Kontrollkästchen Smart cards auszuwählen) den generischen Benutzer und den Smartcardbenutzer der Vorlage zu.
  7. Stecken Sie die Smartcard nicht ein und melden Sie sich an Receiver auf dem Benutzergerät mit dem Namen des generischen Benutzers an. Machen Sie keine Eingabe für Kennwort. Die Desktops, die für den Benutzer verfügbar sind, werden angezeigt.
  8. Starten Sie einen Desktop. Der Desktop-Anmeldebildschirm wird angezeigt.
  9. Stecken Sie die Smartcard ein und geben Sie die PIN ein. Anschließend werden die ausgewählten Desktops angezeigt.