Product Documentation

Authentifizierung mit Domäne oder Domäne und Sicherheitstoken

21. Februar 2018

XenMobile unterstützt die domänenbasierte Authentifizierung unter Verwendung eines oder mehrerer Lightweight Directory Access Protocol-konformer Verzeichnisse. Sie können in XenMobile eine Verbindung mit einem oder mehreren Verzeichnissen konfigurieren und dann unter Verwendung der LDAP-Konfiguration Gruppen, Benutzerkonten und zugehörige Eigenschaften importieren.

LDAP ist ein herstellerneutrales Open-Source-Anwendungsprotokoll zur Verwaltung eines verteilten Verzeichnisinformationsdiensts über ein Internet Protocol-Netzwerk. Verzeichnisinformationsdienste werden verwendet, um Informationen zu Benutzern, Systemen, Netzwerken, Diensten und Anwendungen über das Netzwerk zu teilen.

LDAP wird häufig zur Bereitstellung von Single Sign-On (SSO) für Benutzer eingesetzt, bei dem ein Kennwort (pro Benutzer) für mehrere Dienste verwendet wird. Mit Single Sign-On melden sich die Benutzer einmal bei der Unternehmenswebsite an und erhalten so authentifizierten Zugriff auf das Unternehmensintranet.

Ein Client beginnt eine LDAP-Sitzung durch Herstellen einer Verbindung mit einem LDAP-Server (dem Directory System Agent, DSA). Der Client sendet eine Vorgangsanforderung an den Server, der die entsprechende Authentifizierung zurückgibt.

Wichtig:

Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.

Konfigurieren von LDAP-Verbindungen in XenMobile

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf LDAP. Die Seite LDAP wird angezeigt. Auf dieser Seite können Sie LDAP-konforme Verzeichnisse hinzufügen, bearbeiten und löschen (siehe Anweisungen im vorliegenden Artikel).

    Abbildung des LDAP-Konfigurationsbildschirms

Hinzufügen von LDAP-kompatiblen Verzeichnissen

  1. Klicken Sie auf der Seite LDAP auf Hinzufügen. Die Seite LDAP hinzufügen wird angezeigt.

    Abbildung des LDAP-Konfigurationsbildschirms

  2. Konfigurieren Sie folgende Einstellungen:

    • Verzeichnistyp: Klicken Sie in der Liste auf den Verzeichnistyp. Die Standardeinstellung ist Microsoft Active Directory.
    • Primärer Server: Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
    • Sekundärer Server: Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein. Dieser Server ist ein Failoverserver und wird verwendet, wenn der primäre Server nicht erreichbar ist.
    • Port: Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist 389. Verwenden Sie Port 636 für sichere LDAP-Verbindungen, 3268 für unsichere Microsoft-LDAP-Verbindungen oder 3269 für sichere Microsoft-LDAP-Verbindungen.
    • Domänenname: Geben Sie den Domänennamen ein.
    • Basis-DN für Benutzer: Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele: ou=users, dc=example oder dc=com.
    • Basis-DN für Gruppen: Geben Sie den Speicherort von Gruppen in Active Directory ein. Beispiel: cn=users, dc=domain, dc=net, wobei cn=users für den Containernamen der Gruppen und dc für die Domänenkomponente von Active Directory steht.
    • Benutzer-ID: Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
    • Kennwort: Geben Sie das dem Benutzer zugeordnete Kennwort ein.
    • Domänenalias: Geben Sie ein Alias für den Domänennamen ein.
    • XenMobile-Sperrlimit: Geben Sie eine Zahl zwischen 0 und 999 für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie 0 festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus XenMobile ausgesperrt.
    • XenMobile-Sperrzeitraum: Geben Sie eine Zahl zwischen 0 und 99999 für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert 0 bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten.
    • TCP-Port für globalen Katalog: Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist 3268. Verwenden Sie für SSL-Verbindungen die Portnummer 3269.
    • Stammkontext für globalen Katalog: Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
    • Benutzersuche nach: Klicken Sie in der Liste auf userPrincipalName oder sAMAccountName. Der Standardwert ist userprincipalname.
    • Sichere Verbindung verwenden: Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen. Die Standardeinstellung ist NEIN.
  3. Klicken Sie auf Speichern.

Bearbeiten LDAP-kompatibler Verzeichnisse

  1. Wählen Sie in der Tabelle LDAP das zu bearbeitende Verzeichnis aus.

    Wenn Sie das Kontrollkästchen neben einem Verzeichnis aktivieren, wird das Menü mit den Optionen oberhalb der LDAP-Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.

  2. Klicken Sie auf Edit. Die Seite LDAP bearbeiten wird angezeigt.

    Abbildung des LDAP-Konfigurationsbildschirms

  3. Ändern Sie nach Bedarf die folgenden Informationen:

    • Verzeichnistyp: Klicken Sie in der Liste auf den Verzeichnistyp.
    • Primärer Server: Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
    • Sekundärer Server: Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein.
    • Port: Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist 389. Verwenden Sie Port 636 für sichere LDAP-Verbindungen, 3268 für unsichere Microsoft-LDAP-Verbindungen oder 3269 für sichere Microsoft-LDAP-Verbindungen.
    • Domänenname: Sie können dieses Feld nicht ändern.
    • Basis-DN für Benutzer: Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele: ou=users, dc=example oder dc=com.
    • Basis-DN für Gruppen: Geben Sie den Gruppen-Basis-DN-Namen gemäß dem Muster cn=groupname ein. Beispiel cn=users, dc=servername, dc=net, wobei cn=users der Gruppenname ist. “DN” und “servername” geben den Namen des Servers an, auf dem Active Directory ausgeführt wird.
    • Benutzer-ID: Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
    • Kennwort: Geben Sie das dem Benutzer zugeordnete Kennwort ein.
    • Domänenalias: Geben Sie ein Alias für den Domänennamen ein.
    • XenMobile-Sperrlimit: Geben Sie eine Zahl zwischen 0 und 999 für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie 0 festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus XenMobile ausgesperrt.
    • XenMobile-Sperrzeitraum: Geben Sie eine Zahl zwischen 0 und 99999 für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert 0 bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten.
    • TCP-Port für globalen Katalog: Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist 3268. Verwenden Sie für SSL-Verbindungen die Portnummer 3269.
    • Stammkontext für globalen Katalog: Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
    • Benutzersuche nach: Klicken Sie in der Liste auf userPrincipalName oder sAMAccountName.
    • Sichere Verbindung verwenden: Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen.
  4. Klicken Sie auf Speichern, um die Änderungen zu speichern, oder auf Abbrechen, um die Eigenschaft beizubehalten.

Löschen LDAP-kompatibler Verzeichnisse

  1. Wählen Sie in der Tabelle LDAP das zu löschende Verzeichnis aus.

    Sie können mehrere zu löschende Eigenschaften auswählen, indem Sie die Kontrollkästchen daneben aktivieren.

  2. Klicken Sie auf Löschen. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie noch einmal auf Delete.

Konfigurieren der Authentifizierung mit Domäne und Sicherheitstoken

Sie können XenMobile konfigurieren, sodass Benutzer sich mit ihren LDAP-Anmeldeinformationen und einem Einmalkennwort authentifizieren müssen. Dabei wird das RADIUS-Protokoll verwendet.

Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Konfiguration mit der Citrix PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.

Konfigurieren von LDAP-Einstellungen

Die Verwendung von LDAP zur Authentifizierung erfordert die Installation eines SSL-Zertifikats von einer Zertifizierungsstelle in XenMobile. Weitere Informationen finden Sie unter Hochladen von Zertifikaten in XenMobile.

  1. Klicken Sie in Einstellungen auf LDAP.

  2. Wählen Sie Microsoft Active Directory und klicken Sie auf Bearbeiten.

    Abbildung des LDAP-Konfigurationsbildschirms

  3. Überprüfen Sie, ob der Port auf 636 für sichere LDAP-Verbindungen oder auf 3269 für sichere Microsoft LDAP-Verbindungen festgelegt ist.

  4. Legen Sie Sichere Verbindung verwenden auf Ja fest.

    Abbildung des LDAP-Konfigurationsbildschirms

Konfigurieren der NetScaler Gateway-Einstellungen

Für die folgenden Schritte wird angenommen, dass Sie XenMobile bereits eine NetScaler Gateway-Instanz hinzugefügt haben. Anweisungen zum Hinzufügen einer Instanz von NetScaler Gateway finden Sie unter Hinzufügen einer neuen NetScaler Gateway-Instanz.

  1. Klicken unter Einstellungen auf NetScaler Gateway.

  2. Wählen Sie NetScaler Gateway und klicken Sie auf Bearbeiten.

  3. Wählen Sie unter Anmeldetyp die Option Domäne und Sicherheitstoken.

    Bild des NetScaler Gateway-Konfigurationsbildschirms

Aktivieren der Citrix PIN und der Zwischenspeicherung von Benutzerkennwörtern

Um die Citrix PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.

Konfigurieren von NetScaler Gateway für die Authentifizierung mit Domäne und Sicherheitstoken

Konfigurieren Sie NetScaler Gateway-Sitzungsprofile und Richtlinien für die virtuellen Server, die mit XenMobile verwendet werden. Weitere Informationen finden Sie in der Dokumentation zu Citrix NetScaler Gateway.