Verbundauthentifizierungsdienst

Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ist eine privilegierte Komponente für die Integration in Active Directory-Zertifikatdienste. Der Dienst stellt dynamisch Zertifikate für Benutzer aus, sodass diese sich bei einer Active Directory-Umgebung so anmelden können, als hätten sie eine Smartcard. Durch FAS kann in StoreFront eine größere Bandbreite an Authentifizierungsoptionen, darunter z. B. SAML-Assertionen (Security Assertion Markup Language), verwendet werden. SAML (Security Assertion Markup Language) wird häufig als Alternative für herkömmliche Windows-Benutzerkonten im Internet verwendet.

Das folgende Diagramm zeigt die Integration von FAS mit einer Zertifizierungsstelle zur Bereitstellung von Diensten für StoreFront und XenApp und XenDesktop Virtual Delivery Agents (VDAs).

Lokalisierte Abbildung

Vertrauenswürdige StoreFront-Server kontaktieren den Verbundauthentifizierungsdienst (FAS), wenn Benutzer Zugriff auf die Citrix Umgebung anfordern. Der FAS stellt ein Ticket aus, mit dem eine einzelne XenApp- oder XenDesktop-Sitzung eine Authentifizierung mit einem Zertifikat für die Sitzung durchführen kann. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung mit dem FAS her und löst das Ticket aus. Nur der FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA sendet jeden erforderlichen Signier- und Entschlüsselungsvorgang zusammen mit dem Zertifikat an FAS.

Anforderungen

Der Verbundauthentifizierungsdienst wird unter Windows Server-Betriebssystemen (Windows Server 2008 R2 oder höher) unterstützt.

  • Citrix empfiehlt die Installation des FAS auf einem Server, der keine anderen Citrix-Komponenten enthält.
  • Der Windows-Server muss geschützt werden. Er hat Zugriff auf ein Registrierungsstellenzertifikat und den entsprechenden privaten Schlüssel. Der Server verwendet diese Zugriffe, um das Zertifikat für Domänenbenutzer auszustellen. Nach der Ausstellung hat der Server auch Zugriff auf die Benutzerzertifikate und privaten Schlüssel.
  • Für das FAS-PowerShell SDK ist Windows PowerShell 64-Bit auf dem FAS-Server erforderlich.
  • Für die Ausstellung von Benutzerzertifikaten ist eine Zertifizierungsstelle wie Microsoft Enterprise oder eine andere im Citrix Ready-Programm validierte Zertifizierungsstelle erforderlich.
  • Stellen Sie für andere Zertifizierungsstellen als Microsoft Folgendes sicher:

XenApp- bzw. XenDesktop-Site

  • Die Delivery Controller müssen mindestens die Version 7.15 haben.
  • Die VDAs müssen mindestens die Version 7.15 haben. Stellen Sie sicher, dass Sie die FAS-Gruppenrichtlinienkonfiguration auf die VDAs anwenden, bevor Sie den Maschinenkatalog erstellen. Weitere Informationen finden Sie unter Gruppenrichtlinie konfigurieren.
  • Der StoreFront-Server muss mindestens die Version 3.12 haben (XenApp und XenDesktop 7.15 ISO unterstützt die StoreFront-Version 3.12).

Konsultieren Sie bei der Planung der Bereitstellung dieses Diensts den Abschnitt Sicherheitsüberlegungen.

Informationsquellen:

  • Active Directory-Zertifikatdienste

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831740(v=ws.11)?redirectedfrom=MSDN

  • Windows für die Zertifikatanmeldung konfigurieren

https://support.citrix.com/article/CTX206156

Reihenfolge der Schritte zur Installation und Einrichtung

  1. Verbundauthentifizierungsdienst installieren
  2. Plug-In für den Verbundauthentifizierungsdienst auf StoreFront-Servern konfigurieren
  3. Gruppenrichtlinie konfigurieren
  4. Verwenden Sie die Verwaltungskonsole des Verbundauthentifizierungsdiensts für folgende Aufgaben: (a) Bereitstellen der vorhandenen Vorlagen, (b) Einrichten von Zertifizierungsstellen und (c) Autorisieren des Verbundauthentifizierungsdiensts für die Verwendung der Zertifizierungsstelle.
  5. Konfigurieren von Benutzerregeln

Verbundauthentifizierungsdienst installieren

Aus Sicherheitsgründen empfiehlt Citrix die Installation des FAS auf einem dedizierten Server, ähnlich dem Domänencontroller oder der Zertifizierungsstelle. Der FAS kann über die Schaltfläche Verbundauthentifizierungsdienst auf dem Begrüßungsbildschirm der automatischen Ausführung beim Einfügen der ISO-Datei installiert werden.

Bei diesem Vorgang werden die folgenden Komponenten installiert:

  • Verbundauthentifizierungsdienst
  • PowerShell-Snap-In-Cmdlets zur Remotekonfiguration des Verbundauthentifizierungsdiensts
  • Verwaltungskonsole des Verbundauthentifizierungsdiensts
  • Gruppenrichtlinienvorlagen für den Verbundauthentifizierungsdienst (CitrixFederatedAuthenticationService.admx/adml)
  • Zertifikatvorlagendateien zur einfachen Konfiguration einer Zertifizierungsstelle
  • Leistungsindikatoren und Ereignisprotokolle

Plug-In für den Verbundauthentifizierungsdienst für einen StoreFront-Store aktivieren

Zum Aktivieren der FAS-Integration auf einem StoreFront-Store führen Sie die folgenden PowerShell-Cmdlets als Administrator aus. Wenn Sie mehrere Stores haben oder der Store einen anderen Namen hat, kann der Pfad von dem unten angegebenen abweichen.

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy--> ```

Zum Beenden der Verwendung des FAS verwenden Sie folgendes PowerShell-Skript:

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy--> ```

Delivery Controller konfigurieren

Zur Verwendung des FAS konfigurieren Sie den XenApp- bzw. XenDesktop-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm eine Verbindung herstellen können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus.

Gruppenrichtlinie konfigurieren

Nach der Installation des FAS müssen Sie die vollständigen DNS-Adressen der FAS-Server in der Gruppenrichtlinie angeben und hierfür die während der Installation bereitgestellten Gruppenrichtlinienvorlagen verwenden.

Wichtig: Die Tickets anfordernden StoreFront-Server und die Tickets auslösenden VDAs müssen die gleiche DNS-Adresskonfiguration haben, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Die folgenden Beispiele zeigen die Konfiguration einer Richtlinie auf Domänenebene für alle Maschinen. Der FAS funktioniert, wenn die Liste der DNS-Adressen für die StoreFront-Server, die VDAs und die Maschine mit der FAS-Verwaltungskonsole identisch sind. Das Gruppenrichtlinienobjekt fügt jedem Eintrag eine Indexnummer hinzu, die auch übereinstimmen muss, wenn mehr als ein Objekt verwendet wird.

Schritt 1: Suchen Sie auf dem Server, auf dem Sie den FAS installiert haben, die Datei C:\Programme\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und dann den Ordner “de-DE”.

Lokalisierte Abbildung

Schritt 2: Kopieren Sie die Dateien und den Ordner auf den Domänencontroller in den Pfad C:\Windows\PolicyDefinitions.

Schritt 3: Führen Sie Microsoft Management Console (Befehlszeile: “mmc.exe”) aus. Wählen Sie auf der Menüleiste Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie nach einem Gruppenrichtlinienobjekt gefragt werden, wählen Sie Durchsuchen und dann Standarddomänenrichtlinie. Sie können auch ein für Ihre Umgebung geeignetes Richtlinienobjekt mit einem Tool Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen relevante Citrix Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

Lokalisierte Abbildung

Schritt 4: Gehen Sie zur Richtlinie Verbundauthentifizierungsdienst (Federated Authentication Service) unter Configuration/Policies/Administrative Templates/Citrix Components/Authentication.

Lokalisierte Abbildung

Schritt 5: Öffnen Sie die Verbundauthentifizierungsdienst-Richtlinie und wählen Sie Aktiviert. Dadurch wird die Schaltfläche Anzeigen wählbar, über die Sie die DNS-Adressen der FAS-Server konfigurieren.

Lokalisierte Abbildung

Schritt 6: Geben Sie die DNS-Adressen der Server ein, auf denen der Verbundauthentifizierungsdienst gehostet wird.

Hinweis: Wenn Sie mehrere Adressen eingeben, muss die Reihenfolge der Liste, einschließlich der leeren oder nicht verwendeten Einträge, zwischen StoreFront-Servern und VDAs übereinstimmen.

Schritt 7: Klicken Sie auf OK, um den Gruppenrichtlinien-Assistenten zu beenden und die Änderungen der Gruppenrichtlinie anzuwenden. Sie müssen gegebenenfalls die Maschinen neu starten oder gpupdate /force an der Befehlszeile ausführen, damit die Änderungen wirksam werden.

Aktivieren der Unterstützung für sitzungsinterne Zertifikate und Trennen der Verbindung beim Sperren

Lokalisierte Abbildung

Unterstützung für sitzungsinterne Zertifikate

Die Gruppenrichtlinienvorlage umfasst Unterstützung zur Konfiguration des Systems für sitzungsinterne Zertifikate. Damit werden Zertifikate nach der Anmeldung eines Benutzers in dessen persönlichem Zertifikatspeicher abgelegt. Ein Zertifikat kann dann beispielsweise von Internet Explorer verwendet werden, wenn innerhalb der VDA-Sitzung eine TLS-Authentifizierung bei Webservern erforderlich ist. Standardmäßig gestatten VDAs keinen Zugriff auf Zertifikate nach der Anmeldung.

Disconnect on lock

Wenn diese Richtlinie aktiviert ist, wird die Sitzung des Benutzers automatisch getrennt, wenn der Bildschirm gesperrt wird. Dieses Verhalten ähnelt der Richtlinie “Trennen beim Entfernen von Smartcards” und ist nützlich, wenn Benutzer keine Active Directory-Anmeldeinformationen haben.

Hinweis:

Die Richtlinie zum Trennen der Verbindung beim Sperren gilt für alle Sitzungen auf dem VDA.

Verwendung der FAS-Verwaltungskonsole

Die FAS-Verwaltungskonsole wird zusammen mit dem Verbundauthentifizierungsdienst installiert. Ein Symbol (Citrix Verbundauthentifizierungsdienst) wird in das Startmenü eingefügt.

Es wird automatisch versucht, die FAS-Server in der Umgebung mithilfe der Gruppenrichtlinie zu lokalisieren. Wenn der Vorgang fehlschlägt, konsultieren Sie den Abschnitt Gruppenrichtlinie konfigurieren.

Lokalisierte Abbildung

Wenn Ihr Benutzerkonto nicht Mitglied der Administratorengruppe auf dem Computer mit dem Verbundauthentifizierungsdienst ist, werden Sie zur Eingabe von Anmeldeinformationen aufgefordert.

Lokalisierte Abbildung

Wenn Sie die Verwaltungskonsole zum ersten Mal verwenden, werden Sie durch einen Prozess mit den drei folgenden Schritten geführt:

  • Zertifikatvorlagen bereitstellen.
  • Zertifizierungsstelle einrichten.
  • Zertifizierungsstelle für den Verbundauthentifizierungsdienst autorisieren.

Sie können die Konfigurationstools des Betriebssystems verwenden, um einige der Schritte manuell auszuführen.

Lokalisierte Abbildung

Zertifikatvorlagen bereitstellen

Zur Vermeidung von Interoperabilitätsproblemen mit anderer Software bietet Citrix Verbundauthentifizierungsdienst drei eigene Zertifikatvorlagen.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Diese Vorlagen müssen bei einem Active Directory registriert sein. Wenn sie von der Konsole nicht gefunden werden, können Sie sie mit dem Tool Deploy certificate templates installieren. Dieses Tool muss mit einem Konto ausgeführt werden, das Administratorberechtigung für die Gesamtstruktur des Unternehmens hat.

Lokalisierte Abbildung

Die Konfiguration der Vorlagen ist in den XML-Dateien mit der Erweiterung “certificatetemplate”. Diese werden mit dem Verbundauthentifizierungsdienst in folgenden Pfad installiert:

C:\Programme\Citrix\Federated Authentication Service\CertificateTemplates

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie sie dem Active Directory-Administrator.

Zur manuellen Installation der Vorlagen können Sie die folgenden PowerShell-Befehle verwenden:

```
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")

 $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService

 $CertEnrol.InitializeImport($template)

 $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable

 $writabletemplate.Initialize($comtemplate)

 $writabletemplate.Commit(1, $NULL)
 <!--NeedCopy--> ```

Active Directory-Zertifikatdienste einrichten

Nachdem Sie die Citrix Zertifikatsvorlagen installiert haben, müssen Sie sie auf mindestens einem Zertifizierungsstellenserver veröffentlichen. Informationen zur Bereitstellung von Active Directory-Zertifikatdienste finden Sie in der Dokumentation von Microsoft.

Wenn die Vorlagen nicht auf mindestens einem Server veröffentlicht sind, bietet das Tool zum Einrichten der Zertifizierungsstelle an, sie zu veröffentlichen. Sie müssen das Tool als Benutzer mit Berechtigung zum Verwalten der Zertifizierungsstelle ausführen.

(Zertifikatvorlagen können auch mit der Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

Lokalisierte Abbildung

Verbundauthentifizierungsdienst autorisieren

Der letzte Schritt bei der Einrichtung über die Konsole ist die Autorisierung des Verbundauthentifizierungsdiensts. Die Verwaltungskonsole verwendet die Vorlage Citrix_RegistrationAuthority_ManualAuthorization, um eine Zertifikatanforderung zu generieren. Anschließend wird die Anforderung an eine der Zertifizierungsstellen gesendet, die die Vorlage veröffentlicht.

Lokalisierte Abbildung

Nachdem die Anforderung gesendet wurde, wird sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole angezeigt. Der Administrator der Zertifizierungsstelle muss die Anforderung ausstellen oder ablehnen, damit die Konfiguration des Verbundauthentifizierungsdiensts fortgesetzt werden kann. Die Autorisierungsanforderung wird als ausstehende Anforderung des FAS-Computerkontos angezeigt.

Lokalisierte Abbildung

Klicken Sie mit der rechten Maustaste auf Alle Tasks und wählen Sie für die Zertifikatanforderung Ausstellen oder Verweigern. Die FAS-Verwaltungskonsole erkennt automatisch, wenn dieser Prozess abgeschlossen ist. Dieser Schritt kann einige Zeit dauern.

Lokalisierte Abbildung

Konfigurieren von Benutzerregeln

Mit Benutzerregeln wird die Ausstellung von Zertifikaten für VDA-Anmeldungen und -Sitzungen nach Vorgabe von StoreFront autorisiert. Jede Regel spezifiziert Folgendes:

  • StoreFront-Server, denen das Anfordern von Zertifikaten vertraut wird.
  • Gruppe von Benutzern, für die Sie die Zertifikate anfordern können.
  • Gruppe von VDA-Maschinen, die die Zertifikate verwenden dürfen.

Der Administrator muss die Standardregel definieren, um die Einrichtung des Verbundauthentifizierungsdienstes abzuschließen. Um die Standardregel zu definieren, wechseln Sie zur Registerkarte User Rules der FAS-Verwaltungskonsole, wählen Sie eine Zertifizierungsstelle aus, in der die Vorlage Citrix_SmartcardLogon veröffentlicht wird, und bearbeiten Sie die Liste der StoreFront-Server. Die Liste der VDAs enthält standardmäßig die Domänencomputer und die Liste der Benutzer die Domänenbenutzer. Die Listen können geändert werden, wenn sie nicht geeignet sind.

Lokalisierte Abbildung

Felder:

Certificate Authority und Certificate Template: Die Zertifizierungsstelle und Zertifikatvorlage, die zum Ausstellen von Benutzerzertifikaten verwendet wird. Die Vorlage muss “Citrix_SmartcardLogon” oder eine geänderte Kopie dieser Vorlage für eine der Zertifizierungsstellen sein, in der die Vorlage veröffentlicht ist.

Für Failover und Lastausgleich können mehrere Zertifizierungsstellen mit PowerShell-Befehlen hinzugefügt werden. Erweiterte Optionen für die Zertifikaterstellung können über die Befehlszeile und die Konfigurationsdateien festgelegt werden. Weitere Informationen finden Sie in den Abschnitten PowerShell und Hardwaresicherheitsmodule.

In-Session Certificates: Das Kontrollkästchen Available after logon steuert, ob ein Zertifikat auch als sitzungsinternes Zertifikat verwendet werden kann. Wenn das Kontrollkästchen nicht aktiviert ist, wird das Zertifikat nur für Anmeldungen oder Wiederverbindungen verwendet und der Benutzer hat nach der Authentifizierung keinen Zugriff auf das Zertifikat.

List of StoreFront servers that can use this rule: Liste der vertrauenswürdigen StoreFront-Servermaschinen, die Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anfordern dürfen. Diese Einstellung ist sicherheitsrelevant und muss mit großer Sorgfalt gewählt werden.

Lokalisierte Abbildung

List of VDA desktops and servers that can be logged into by this rule: Liste der VDA-Maschinen, die Benutzer über das FAS-System anmelden dürfen.

Lokalisierte Abbildung

List of users that StoreFront can log in using this rule: Liste der Benutzer, denen Zertifikate über den FAS ausgestellt werden dürfen.

Lokalisierte Abbildung

Erweiterte Verwendung

Sie können zusätzliche Regeln erstellen, um auf verschiedene Zertifikatvorlagen und Zertifizierungsstellen zu verweisen und für sie unterschiedliche Eigenschaften und Berechtigungen zu konfigurieren. Sie können diese Regeln für die Verwendung durch verschiedene StoreFront-Server konfigurieren. Konfigurieren Sie die StoreFront-Server so, dass die benutzerdefinierte Regel über den Namen angefordert wird. Verwenden Sie dazu die Konfigurationsoptionen für die Gruppenrichtlinien.

Standardmäßig fordert StoreFront-Anforderungen bei der Kontaktaufnahme mit dem Verbundauthentifizierungsdienst default an. Dies kann über die Optionen zur Konfiguration der Gruppenrichtlinie geändert werden.

Zum Erstellen einer Zertifikatvorlage kopieren Sie die Vorlage “Citrix_SmartcardLogon” in der Microsoft-Zertifizierungsstellenkonsole, benennen Sie sie um (z. B. in “Citrix_SmartcardLogon2”) und bearbeiten Sie sie nach Bedarf. Erstellen Sie eine Benutzerregel, indem Sie auf Add klicken, um auf die neue Zertifikatvorlage zu verweisen.

Überlegungen zu Upgrades

  • Alle Servereinstellungen des Verbundauthentifizierungsdiensts bleiben erhalten, wenn Sie ein direktes Upgrade durchführen.
  • Führen Sie zum Upgrade des Verbundauthentifizierungsdiensts das Installationsprogramm für XenApp und XenDesktop aus.
  • Führen Sie vor dem Upgrade des Verbundauthentifizierungsdiensts von 7.15 LTSR auf 7.15 LTSR CU2 (bzw. ein aktuelleres unterstütztes CU) ein Upgrade des Controllers und der VDAs (sowie anderer Kernkomponenten) auf die erforderliche Version durch.
  • Vergewissern Sie sich, dass die Konsole des Verbundauthentifizierungsdiensts geschlossen ist, bevor Sie den Dienst aktualisieren.
  • Stellen Sie sicher, dass immer mindestens ein Verbundauthentifizierungsdienst-Server verfügbar ist. Wenn kein Server mit einem für den Verbundauthentifizierungsdienst aktivierten StoreFront-Server erreichbar ist, können die Benutzer sich nicht anmelden und keine Anwendungen starten.

Sicherheitsüberlegungen

Der Verbundauthentifizierungsdienst hat ein Registrierungsstellenzertifikat, mit dem er autonom Zertifikate für die Domänenbenutzer ausstellen kann. Es ist daher wichtig, eine Sicherheitsrichtlinie zum Schutz des FAS-Servers zu entwickeln und zu implementieren und die zugehörigen Berechtigungen einzuschränken.

Delegierte Registrierungsagents

FAS stellt Benutzerzertifikate als Registrierungsagent aus. Die Microsoft-Zertifizierungsstelle steuert die Vorlagen, die der FAS-Server verwenden kann. Sie bestimmt auch die Benutzer, für die der FAS-Server Zertifikate ausstellen kann.

Lokalisierte Abbildung

Citrix empfiehlt dringend, diese Optionen zu konfigurieren, damit der Verbundauthentifizierungsdienst nur den beabsichtigten Benutzern Zertifikate ausstellen kann. Es empfiehlt sich beispielsweise, eine Ausstellung von Zertifikaten durch den Verbundauthentifizierungsdienst für Benutzer in der Verwaltungsgruppe oder der Gruppe der geschützten Benutzer zu unterbinden.

Zugriffssteuerungsliste konfigurieren

Wie unter Benutzerrollen konfigurieren beschrieben, müssen Sie eine Liste von StoreFront-Servern konfigurieren, die als vertrauenswürdig gelten und bei der Ausstellung von Zertifikaten dem Verbundauthentifizierungsdienst Benutzeridentitäts-Assertions erstellen dürfen. Sie können außerdem festlegen, welchen Benutzern Zertifikate ausgestellt werden dürfen und bei welchen VDA-Maschinen sie sich authentifizieren können. Dieser Schritt versteht sich zusätzlich zu den von Ihnen konfigurierten Active Directory- bzw. Zertifizierungsstellen-Standardsicherheitsfeatures.

Firewalleinstellungen

Für die gesamte Kommunikation mit FAS-Servern werden gegenseitig authentifizierte Kerberos-Netzwerkverbindungen gemäß Windows Communication Foundation über Port 80 verwendet.

Ereignisprotokollüberwachung

Der Verbundauthentifizierungsdienst und der VDA schreiben Informationen in das Windows-Ereignisprotokoll. Dieses Protokoll kann zur Überwachung und Überprüfung verwendet werden. Der Abschnitt Ereignisprotokolle enthält eine Liste möglicher Ereignisprotokolleinträge.

Hardwaresicherheitsmodule

Alle privaten Schlüssel, einschließlich der Schlüssel der vom Verbundauthentifizierungsdienst ausgestellten Benutzerzertifikate, werden als nicht exportierbare private Schlüssel vom Netzwerkdienstkonto gespeichert. Der Verbundauthentifizierungsdienst unterstützt die Verwendung eines kryptographischen Hardwaresicherheitsmoduls, sollte eine Sicherheitsrichtlinie dies erfordern.

Eine detaillierte Kryptographiekonfiguration ist über die Datei FederatedAuthenticationService.exe.config verfügbar. Diese Einstellungen gelten für die Ersterstellung privater Schlüssel. Daher können verschiedene Einstellungen für private Registrierungsstellenschlüssel (z. B. 4096 Bit, TPM-geschützt) und Laufzeit-Benutzerzertifikate verwendet werden.

Parameter Beschreibung
ProviderLegacyCsp Bei der Einstellung “true” verwendet der FAS die Microsoft CryptoAPI (CAPI). Andernfalls verwendet der FAS die Microsoft Cryptography Next Generation-API (CNG).
ProviderName Name des CAPI- oder CNG-Anbieters, der verwendet werden soll.
ProviderType Bezieht sich auf Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Muss immer 24 lauten, es sei denn, Sie verwenden ein HSM mit CAPI und der HSM-Hersteller hat eine andere Spezifikation.
KeyProtection Steuert das Flag “Exportable” privater Schlüssel. Ermöglicht außerdem die Verwendung eines TPM-Schlüsselspeichers (Trusted Platform Module), wenn die Hardware dies unterstützt.
KeyLength Schlüssellänge privater RSA-Schlüssel. Zulässige Werte sind 1024, 2048 und 4096 (Standard = 2048).

PowerShell SDK

Die Verwaltungskonsole des Verbundauthentifizierungsdiensts eignet sich für einfache Bereitstellungen, während die PowerShell erweiterte Optionen bietet. Wenn Sie mit Optionen arbeiten, die in der Konsole nicht verfügbar sind, empfiehlt Citrix, ausschließlich PowerShell für die Konfiguration zu verwenden.

Mit dem folgenden Befehl werden die PowerShell-Cmdlets hinzugefügt:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Verwenden Sie Get-Help <cmdlet name>, um die Cmdlet-Hilfe anzuzeigen. Die folgende Tabelle enthält einige Befehle, wobei * für das standardmäßige PowerShell-Verb (New, Get, Set, Remove usw.) steht.

Befehle Übersicht
*-FasServer Zum Auflisten und Umkonfigurieren der FAS-Server in der aktuellen Umgebung
*-FasAuthorizationCertificate Zum Verwalten des Registrierungsstellenzertifikats
*-FasCertificateDefinition Zum Steuern der Parameter, die vom FAS beim Generieren von Zertifikaten verwendet werden
*-FasRule Zum Verwalten der für den Verbundauthentifizierungsdienst konfigurierten Benutzerregeln
*-FasUserCertificate Zum Auflisten und Verwalten der vom Verbundauthentifizierungsdienst zwischengespeicherten Zertifikate

PowerShell-Cmdlets können remote unter Angabe der Adresse eines FAS-Servers verwendet werden.

Sie können auch eine ZIP-Datei mit allen Cmdlet-Hilfedateien des PowerShell SDKs für FAS herunterladen. Weitere Informationen finden Sie im Artikel zum PowerShell SDK.

Leistungsindikatoren

Der Verbundauthentifizierungsdienst enthält eine Reihe von Leistungsindikatoren zur Lastnachverfolgung.

Lokalisierte Abbildung

In der folgenden Tabelle werden die Leistungsindikatoren aufgelistet. Die meisten Leistungsindikatoren sind gleitende Mittelwerte über fünf Minuten.

Name Beschreibung
Aktive Sitzungen Anzahl der Verbindungen, die vom Verbundauthentifizierungsdienst nachverfolgt werden
Gleichzeitige CSRs Anzahl der gleichzeitig verarbeiteten Zertifikatanforderungen
Privater-Schlüssel-Vorgänge Anzahl der pro Minute für private Schlüssel durchgeführten Vorgänge
Request time Länge der beim Generieren und Signieren eines Zertifikats verstrichenen Zeit
Certificate Count Anzahl der im Verbundauthentifizierungsdienst zwischengespeicherten Zertifikate
CSR per minute Anzahl der pro Minute verarbeiteten Zertifikatsignieranforderungen
Low/Medium/High Schätzung der Last, die der Verbundauthentifizierungsdienst in Form von Zertifikatsignieranforderungen pro Minute übernehmen kann. Bei Überschreitung des Schwellenwerts für “High Load” können Sitzungsstarts fehlschlagen.

Ereignisprotokolle

Die folgenden Tabellen enthalten die vom Verbundauthentifizierungsdienst generierten Ereignisprotokolleinträge.

Verwaltungsereignisse

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

FAS protokolliert diese Ereignisse als Reaktion auf die Konfigurationsänderungen auf dem FAS-Server.

Logcodes
[S001] ACCESS DENIED: User [{0}] is not a member of Administrators group
[S002] ACCESS DENIED: User [{0}] is not an Administrator of Role [{1}]
[S003] Administrator [{0}] setting Maintenance Mode to [{1}]
[S004] Administrator [{0}] enrolling with CA [{1}] templates [{2} and {3}]
[S005] Administrator [{0}] de-authorizing CA [{1}]
[S006] Administrator [{0}] creating new Certificate Definition [{1}]
[S007] Administrator [{0}] updating Certificate Definition [{1}]
[S008] Administrator [{0}] deleting Certificate Definition [{1}]
[S009] Administrator [{0}] creating new Role [{1}]
[S010] Administrator [{0}] updating Role [{1}]
[S011] Administrator [{0}] deleting Role [{1}]
[S012] Administrator [{0}] creating certificate [upn: {0} sid: {1} role: {2}][Certificate Definition: {3}]
[S013] Administrator [{0}] deleting certificates [upn: {0} role: {1} Certificate Definition: {2}]
Logcodes
[S401] Performing configuration upgrade – [From version {0}][to version {1}]
[S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [currently running as: {0}]

Erstellen von Identitätsassertions [Verbundauthentifizierungsdienst]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem vertrauenswürdigen Server eine Assertion für eine Benutzeranmeldung erstellt wird.

Logcodes
[S101] Server [{0}] is not authorized to assert identities in role [{1}]
[S102] Server [{0}] failed to assert UPN [{1}] (Exception: {2}{3})
[S103] Server [{0}] requested UPN [{1}] SID {2}, but lookup returned SID {3}
[S104] Server [{0}] failed to assert UPN [{1}] (UPN not allowed by role [{2}])
[S105] Server [{0}] issued identity assertion [upn: {0}, role {1}, Security Context: [{2}]
 
[S120] Issuing certificate to [upn: {0} role: {1} Security Context: [{2}]]
[S121] Issuing certificate to [upn: {0} role: {1}] on behalf of account {2}
[S122] Warning: Server is overloaded [upn: {0} role: {1}][Requests per minute {2}].

Bei Agieren als vertrauende Seite [Verbundauthentifizierungsdienst]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem VDA ein Benutzer angemeldet wird.

Logcodes
[S201] Relying party [{0}] does not have access to a password.
[S202] Relying party [{0}] does not have access to a certificate.
[S203] Relying party [{0}] does not have access to the Logon CSP
[S204] Relying party [{0}] accessing the Logon CSP [Operation: {1}]
[S205] Calling account [{0}] is not a relying party in role [{1}]
[S206] Calling account [{0}] is not a relying party
[S207] Relying party [{0}] asserting identity [upn: {1}] in role: [{2}]
[S208] Private Key operation failed [Operation: {0}][upn: {1} role: {2} certificateDefinition {3}][Error {4} {5}].

Server für sitzungsinterne Zertifikate [Verbundauthentifizierungsdienst]

Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein sitzungsinternes Zertifikat verwendet.

Logcodes
[S301] Access Denied: User [{0}] does not have access to a Virtual Smart Card
[S302] User [{0}] requested unknown Virtual Smart Card [thumbprint: {1}]
[S303] User [{0}] does not match Virtual Smart Card [upn: {1}]
[S304] User [{1}] running program [{2}] on computer [{3}] using Virtual Smart Card [upn: {4} role: {5}] for private key operation: [{6}]
[S305] Private Key operation failed [Operation: {0}][upn: {1} role: {2} containerName {3}][Error {4} {5}].

Anmeldung [VDA]

[Ereignisquelle: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden bei der Anmeldung auf dem VDA protokolliert.

Logcodes
[S101] Identity Assertion Logon failed. Unrecognised Federated Authentication Service [id: {0}]
[S102] Identity Assertion Logon failed. Could not lookup SID for {0} [Exception: {1}{2}]
[S103] Identity Assertion Logon failed. User {0} has SID {1}, expected SID {2}
[S104] Identity Assertion Logon failed. Failed to connect to Federated Authentication Service: {0} [Error: {1} {2}]
[S105] Identity Assertion Logon. Logging in [Username: {0}][Domain: {1}]
[S106] Identity Assertion Logon. Logging in [Certificate: {0}]
[S107] Identity Assertion Logon failed. [Exception: {1}{2}]
[S108] Identity Assertion Subsystem. ACCESS_DENIED [Caller: {0}]

Sitzungsinterne Zertifikate [VDA]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein sitzungsinternes Zertifikat zu verwenden.

Logcodes
[S201] Virtual Smart Card Authorized [User: {0}][PID: {1} Name:{2}][Certificate {3}]
[S202] Virtual Smart Card Subsystem. No smart cards available in session {0}
[S203] Virtual Smart Card Subsystem. Access Denied [caller: {0}, session {1}, expected: {2}]
[S204] Virtual Smart Card Subsystem. Smart card support disabled.

Zertifikatanforderung und Generierungscodes [Verbundauthentifizierungsdienst]

[Event Source: Citrix.TrustFabric]

Diese Detailereignisse werden protokolliert, wenn der FAS-Server kryptographische Vorgänge auf Protokollebene durchführt.

Logcodes
[S0001]TrustArea::TrustArea: Installed certificate chain
[S0002]TrustArea::Join: Callback has authorized an untrusted certificate
[S0003]TrustArea::Join: Joining to a trusted server
[S0004]TrustArea::Maintain: Renewed certificate
[S0005] Trustarea:: Maintain: Abgerufene neue Zertifikatskette
[S0006]TrustArea::Export: Exporting private key
[S0007]TrustArea::Import: Importing Trust Area
[S0008]TrustArea::Leave: Leaving Trust Area
[S0009]TrustArea::SecurityDescriptor: Setting Security Descriptor
[S0010]CertificateVerification: Installing new trusted certificate
[S0011]CertificateVerification: Uninstalling expired trusted certificate
[S0012]TrustFabricHttpClient: Attempting single sign-on to {0}
[S0013]TrustFabricHttpClient: Explicit credentials entered for {0}
[S0014]Pkcs10Request::Create: Created PKCS10 request
[S0015]Pkcs10Request::Renew: Created PKCS10 request
[S0016]PrivateKey::Create
[S0017]PrivateKey::Delete
[S0018]TrustArea::TrustArea: Waiting for Approval
[S0019]TrustArea::Join: Delayed Join
[S0020]TrustArea::Join: Delayed Join
[S0021]TrustArea::Maintain: Installed certificate chain
Logcodes
[S0101]TrustAreaServer::Create root certificate
[S0102]TrustAreaServer::Subordinate: Join succeeded
[S0103]TrustAreaServer::PeerJoin: Join succeeded
[S0104]MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0}
[S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0}
[S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Issued cert {0}
[S0106]MicrosoftCertificateAuthority::PublishCRL: Published CRL
[S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0}
[S0108]MicrosoftCertificateAuthority::ReissueCertificate Issued Cert {0}
[S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest - Still waiting for approval
[S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest - Pending certificate refused
[S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest Issued certificate
[S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest - Waiting for approval
[S0120]NativeCertificateAuthority::SubmitCertificateRequest Issued cert {0}
[S0121]NativeCertificateAuthority::SubmitCertificateRequest Error
[S0122]NativeCertificateAuthority::RootCARollover New root certificate
[S0123]NativeCertificateAuthority::ReissueCertificate New certificate
[S0124]NativeCertificateAuthority::RevokeCertificate
[S0125]NativeCertificateAuthority::PublishCRL

Verwandte Informationen