Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken
XenMobile unterstützt die domänenbasierte Authentifizierung unter Verwendung eines oder mehrerer Lightweight Directory Access Protocol-konformer Verzeichnisse. Sie können in XenMobile eine Verbindung mit einem oder mehreren Verzeichnissen konfigurieren und mit der LDAP-Konfiguration Gruppen, Benutzerkonten und zugehörige Eigenschaften importieren.
LDAP ist ein herstellerneutrales Open-Source-Anwendungsprotokoll zur Verwaltung eines verteilten Verzeichnisinformationsdiensts über ein Internet Protocol-Netzwerk. Verzeichnisinformationsdienste werden verwendet, um Informationen zu Benutzern, Systemen, Netzwerken, Diensten und Anwendungen über das Netzwerk zu teilen.
LDAP wird häufig zur Bereitstellung von Single Sign-On (SSO) für Benutzer eingesetzt, bei dem ein Kennwort (pro Benutzer) für mehrere Dienste verwendet wird. Mit Single Sign-On melden sich die Benutzer einmal bei der Unternehmenswebsite an und erhalten so authentifizierten Zugriff auf das Unternehmensintranet.
Ein Client beginnt eine LDAP-Sitzung durch Herstellen einer Verbindung mit einem LDAP-Server (dem Directory System Agent, DSA). Der Client sendet eine Vorgangsanforderung an den Server, der die entsprechende Authentifizierung zurückgibt.
Wichtig:
Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.
Konfigurieren von LDAP-Verbindungen in XenMobile
-
Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
-
Klicken Sie unter Server auf LDAP. Die Seite LDAP wird angezeigt. Auf dieser Seite können Sie LDAP-konforme Verzeichnisse hinzufügen, bearbeiten und löschen (siehe Anweisungen im vorliegenden Artikel).
Hinzufügen von LDAP-kompatiblen Verzeichnissen
-
Klicken Sie auf der Seite LDAP auf Hinzufügen. Die Seite LDAP hinzufügen wird angezeigt.
-
Konfigurieren Sie folgende Einstellungen:
- Verzeichnistyp: Klicken Sie in der Liste auf den Verzeichnistyp. Die Standardeinstellung ist Microsoft Active Directory.
- Primärer Server: Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
- Sekundärer Server: Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein. Dieser Server ist ein Failoverserver und wird verwendet, wenn der primäre Server nicht erreichbar ist.
- Port: Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist 389. Verwenden Sie Port 636 für sichere LDAP-Verbindungen, 3268 für unsichere Microsoft-LDAP-Verbindungen oder 3269 für sichere Microsoft-LDAP-Verbindungen.
- Domänenname: Geben Sie den Domänennamen ein.
-
Basis-DN für Benutzer: Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele:
ou=users
,dc=example
oderdc=com
. -
Basis-DN für Gruppen: Geben Sie den Speicherort von Gruppen in Active Directory ein. Beispiel:
cn=users, dc=domain, dc=net
, wobeicn=users
für den Containernamen der Gruppen unddc
für die Domänenkomponente von Active Directory steht. - Benutzer-ID: Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
- Kennwort: Geben Sie das dem Benutzer zugeordnete Kennwort ein.
- Domänenalias: Geben Sie ein Alias für den Domänennamen ein. Wenn Sie die Einstellung für den Domänenalias nach der Registrierung ändern, müssen sich Benutzer neu registrieren.
- XenMobile-Sperrlimit: Geben Sie eine Zahl zwischen 0 und 999 für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie 0 festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus XenMobile ausgesperrt.
- XenMobile-Sperrzeitraum: Geben Sie eine Zahl zwischen 0 und 99999 für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert 0 bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten.
- TCP-Port für globalen Katalog: Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist 3268. Verwenden Sie für SSL-Verbindungen die Portnummer 3269.
- Stammkontext für globalen Katalog: Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
- Benutzersuche nach: Klicken Sie in der Liste auf userPrincipalName oder sAMAccountName. Der Standardwert ist userPrincipalName. Wenn Sie die Einstellung Benutzersuche nach nach der Registrierung ändern, müssen sich Benutzer neu registrieren.
- Sichere Verbindung verwenden: Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen. Die Standardeinstellung ist NEIN.
-
Klicken Sie auf Speichern.
Bearbeiten LDAP-kompatibler Verzeichnisse
-
Wählen Sie in der Tabelle LDAP das zu bearbeitende Verzeichnis aus.
Wenn Sie das Kontrollkästchen neben einem Verzeichnis aktivieren, wird das Menü mit den Optionen oberhalb der LDAP-Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.
-
Klicken Sie auf Bearbeiten. Die Seite LDAP bearbeiten wird angezeigt.
-
Ändern Sie nach Bedarf die folgenden Informationen:
- Verzeichnistyp: Klicken Sie in der Liste auf den Verzeichnistyp.
- Primärer Server: Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
- Sekundärer Server: Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein.
- Port: Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist 389. Verwenden Sie Port 636 für sichere LDAP-Verbindungen, 3268 für unsichere Microsoft-LDAP-Verbindungen oder 3269 für sichere Microsoft-LDAP-Verbindungen.
- Domänenname: Sie können dieses Feld nicht ändern.
-
Basis-DN für Benutzer: Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele:
ou=users
,dc=example
oderdc=com
. -
Basis-DN für Gruppen: Geben Sie den Gruppen-Basis-DN-Namen gemäß dem Muster
cn=groupname
ein. Beispielsweisecn=users, dc=servername, dc=net
, wobeicn=users
der Gruppenname ist.DN
undservername
sind der Name des Servers, auf dem Active Directory ausgeführt wird. - Benutzer-ID: Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
- Kennwort: Geben Sie das dem Benutzer zugeordnete Kennwort ein.
- Domänenalias: Geben Sie ein Alias für den Domänennamen ein. Wenn Sie die Einstellung für den Domänenalias nach der Registrierung ändern, müssen sich Benutzer neu registrieren.
- XenMobile-Sperrlimit: Geben Sie eine Zahl zwischen 0 und 999 für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie 0 festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus XenMobile ausgesperrt.
- XenMobile-Sperrzeitraum: Geben Sie eine Zahl zwischen 0 und 99999 für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert 0 bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten.
- TCP-Port für globalen Katalog: Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist 3268. Verwenden Sie für SSL-Verbindungen die Portnummer 3269.
- Stammkontext für globalen Katalog: Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
- Benutzersuche nach: Klicken Sie in der Liste auf userPrincipalName oder sAMAccountName. Wenn Sie die Einstellung Benutzersuche nach nach der Registrierung ändern, müssen sich Benutzer neu registrieren.
- Sichere Verbindung verwenden: Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen.
-
Klicken Sie auf Speichern, um die Änderungen zu speichern, oder auf Abbrechen, um die Eigenschaft beizubehalten.
Löschen LDAP-kompatibler Verzeichnisse
-
Wählen Sie in der Tabelle LDAP das zu löschende Verzeichnis aus.
Sie können mehrere zu löschende Eigenschaften auswählen, indem Sie die Kontrollkästchen daneben aktivieren.
-
Klicken Sie auf Löschen. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie noch einmal auf Delete.
Konfigurieren der Authentifizierung für mehrere Domänen
Informationen zum Konfigurieren von XenMobile Server zur Verwendung mehrerer Domänensuffixe in einer LDAP-Konfiguration finden Sie in der Dokumentation zur Citrix Endpoint Management unter Konfigurieren der Authentifizierung für mehrere Domänen. Das Verfahren ist bei der On-Premises-Version von XenMobile Server und der Endpoint Management-Cloudversion identisch.
Konfigurieren der Authentifizierung mit Domäne und Sicherheitstoken
Sie können XenMobile konfigurieren, sodass Benutzer sich mit ihren LDAP-Anmeldeinformationen und einem Einmalkennwort authentifizieren müssen. Dabei wird das RADIUS-Protokoll verwendet.
Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Konfiguration mit der Citrix-PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.
Konfigurieren von LDAP-Einstellungen
Wenn Sie LDAP für die Authentifizierung verwenden möchten, müssen Sie ein SSL-Zertifikat von einer Zertifizierungsstelle in XenMobile installieren. Weitere Informationen finden Sie unter Hochladen von Zertifikaten in XenMobile.
-
Klicken Sie in Einstellungen auf LDAP.
-
Wählen Sie Microsoft Active Directory und klicken Sie auf Bearbeiten.
-
Überprüfen Sie, ob der Port auf 636 für sichere LDAP-Verbindungen oder auf 3269 für sichere Microsoft LDAP-Verbindungen festgelegt ist.
-
Legen Sie Sichere Verbindung verwenden auf Ja fest.
Konfigurieren von Citrix Gateway-Einstellungen
Für die folgenden Schritte wird angenommen, dass Sie XenMobile bereits eine Citrix Gateway-Instanz hinzugefügt haben. Anweisungen zum Hinzufügen einer Instanz von Citrix Gateway finden Sie unter Hinzufügen einer neuen Citrix Gateway-Instanz.
-
Klicken unter Einstellungen auf Citrix Gateway.
-
Wählen Sie das Citrix Gateway und klicken Sie auf Bearbeiten.
-
Wählen Sie unter Anmeldetyp die Option Domäne und Sicherheitstoken.
Aktivieren der Citrix-PIN und der Zwischenspeicherung von Benutzerkennwörtern
Um die Citrix-PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix-PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.
Konfigurieren von Citrix Gateway für die Authentifizierung mit Domäne und Sicherheitstoken
Konfigurieren Sie Citrix Gateway-Sitzungsprofile und Richtlinien für die virtuellen Server, die mit XenMobile verwendet werden. Weitere Informationen finden Sie in der Dokumentation zu Citrix Gateway.
In diesem Artikel
- Konfigurieren von LDAP-Verbindungen in XenMobile
- Hinzufügen von LDAP-kompatiblen Verzeichnissen
- Bearbeiten LDAP-kompatibler Verzeichnisse
- Löschen LDAP-kompatibler Verzeichnisse
- Konfigurieren der Authentifizierung für mehrere Domänen
- Konfigurieren der Authentifizierung mit Domäne und Sicherheitstoken