Configurar la autenticación PassThrough de dominio con Kerberos

Lo descrito en este artículo se aplica solo a conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops.

La aplicación Citrix Workspace respalda Kerberos para la autenticación PassThrough de dominio en implementaciones que usan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación de Windows integrada (IWA).

Cuando la autenticación Kerberos está habilitada, Kerberos autentica sin contraseña en la aplicación Citrix Workspace, y así impide ataques de tipo troyano que intentan obtener acceso a las contraseñas del dispositivo de usuario. Los usuarios pueden iniciar sesión utilizando cualquier método de autenticación y acceder a los recursos publicados. Por ejemplo, pueden usar un autenticador biométrico como un lector de huellas dactilares.

Cuando inicie sesión utilizando una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

  1. Captura el PIN de la tarjeta inteligente durante el inicio de sesión único.
  2. Usa IWA (Kerberos) para autenticar al usuario en StoreFront. A continuación, StoreFront ofrece información sobre las aplicaciones y los escritorios virtuales disponibles a la aplicación Citrix Workspace.

Nota

Habilite Kerberos para evitar una solicitud extra de PIN. Si no se usa la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront con las credenciales de la tarjeta inteligente.

  1. El motor de HDX (antes conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. A continuación, Citrix Virtual Apps and Desktops entrega los recursos solicitados.

Para usar la autenticación Kerberos en la aplicación Citrix Workspace, la configuración de Kerberos debe cumplir los siguientes requisitos.

  • Kerberos solo funciona entre la aplicación Citrix Workspace y los servidores que pertenecen a los mismos dominios de Windows o a dominios que son de confianza. Los servidores también deben ser de confianza para la delegación, una opción que se configura a través de la herramienta de administración de usuarios y equipos de Active Directory.
  • Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops. Para mayor seguridad y para asegurarse de que se utiliza Kerberos, inhabilite las demás opciones que no sean Kerberos IWA en el dominio.
  • El inicio de sesión con Kerberos no está disponible para conexiones de Servicios de escritorio remoto configuradas para usar la autenticación básica, para usar siempre la información de inicio de sesión especificada o para pedir siempre una contraseña.

Advertencia

El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Configurar la autenticación PassThrough de dominio con Kerberos para usarla con tarjetas inteligentes

Antes de continuar, consulte la información de tarjeta inteligente que se indica en la sección Proteger la implementación en la documentación de Citrix Virtual Apps and Desktops.

Cuando instale la aplicación Citrix Workspace para Windows, incluya la opción siguiente en la línea de comandos:

  • /includeSSON

    Esta opción instala el componente Single Sign-On en el equipo unido a un dominio, lo que habilita a Citrix Workspace para autenticarse en StoreFront usando IWA (Kerberos). El componente Single Sign-On guarda el PIN de la tarjeta inteligente. El motor HDX lo utiliza cuando comunica de forma remota el hardware de la tarjeta inteligente y las credenciales a Citrix Virtual Apps and Desktops. Citrix Virtual Apps and Desktops selecciona automáticamente un certificado desde la tarjeta inteligente y obtiene el PIN desde el motor HDX.

    La opción relacionada ENABLE\_SSON está habilitada de forma predeterminada.

Si una directiva de seguridad le impide habilitar el inicio Single Sign-On en un dispositivo, configure la aplicación Citrix Workspace utilizando la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace mediante la ejecución de gpedit.msc.
  2. Elija Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
  3. Seleccione Habilitar autenticación PassThrough.
  4. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

    Imagen localizada

Para configurar StoreFront:

Durante la configuración del servicio de autenticación en el servidor StoreFront, seleccione la opción “PassThrough de dominio”. Este parámetro habilita la autenticación de Windows integrada (IWA). No es necesario seleccionar la opción “Tarjeta inteligente” a menos que también tenga clientes que no estén unidos a un dominio conectándose a StoreFront con tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Configurar la autenticación PassThrough de dominio con Kerberos