Linux Virtual Delivery Agent

Tarjetas inteligentes

April 21, 2026

Contribución de:

C C

Puedes usar una tarjeta inteligente conectada al dispositivo cliente para la autenticación al iniciar sesión en una sesión de escritorio virtual de Linux. Esta función se implementa mediante la redirección de tarjetas inteligentes a través del canal virtual de tarjetas inteligentes ICA®. También puedes usar la tarjeta inteligente dentro de la sesión. Los casos de uso incluyen agregar una firma digital a un documento, cifrar o descifrar un correo electrónico y autenticarte en un sitio web.

El VDA de Linux usa la misma configuración que el VDA de Windows para esta función. Para obtener más información, consulta la sección Configurar el entorno de la tarjeta inteligente de este artículo.

Nota:

No se admite el uso de una tarjeta inteligente asignada dentro de una sesión de VDA de Linux para iniciar sesión en Citrix Gateway.

Requisitos previos

-  La disponibilidad de la autenticación de paso a través de tarjetas inteligentes depende de las siguientes condiciones:

-  Tu VDA de Linux está instalado en una de las siguientes distribuciones:

-  RHEL 8
-  Rocky Linux 8
-  RHEL 7/CentOS 7
-  Ubuntu 20.04
-  Ubuntu 18.04
-  Debian 10.9

 Después de completar la instalación del VDA, verifica que tu VDA pueda registrarse con Delivery Controller™ y que puedas abrir las sesiones de escritorio de Linux publicadas usando credenciales de Windows.

Se usan tarjetas inteligentes compatibles con OpenSC. Para obtener más información, consulta Asegúrate de que OpenSC sea compatible con tu tarjeta inteligente.
Se usa la aplicación Citrix Workspace™ para Windows.

Asegúrate de que OpenSC sea compatible con tu tarjeta inteligente

OpenSC es un controlador de tarjetas inteligentes muy usado en RHEL 7.4+. Como reemplazo totalmente compatible de CoolKey, OpenSC admite muchos tipos de tarjetas inteligentes (consulta Smart Card Support in Red Hat Enterprise Linux).

En este artículo, la tarjeta inteligente YubiKey 4 se usa como ejemplo para ilustrar la configuración. YubiKey 4 es un dispositivo USB CCID PIV todo en uno que se puede comprar fácilmente en Amazon u otros minoristas. El controlador OpenSC es compatible con YubiKey 4.

Yubikey4

Si tu organización requiere alguna otra tarjeta inteligente más avanzada, prepara una máquina física con una distribución de Linux compatible y el paquete OpenSC instalado. Para obtener información sobre la instalación de OpenSC, consulta Instalar el controlador de la tarjeta inteligente. Inserta tu tarjeta inteligente y ejecuta el siguiente comando para verificar que OpenSC sea compatible con tu tarjeta inteligente:

pkcs11-tool --module opensc-pkcs11.so --list-slots
<!--NeedCopy-->

Configuración

Prepara un certificado raíz

Se usa un certificado raíz para verificar el certificado de la tarjeta inteligente. Completa los siguientes pasos para descargar e instalar un certificado raíz.

Obtén un certificado raíz en formato PEM, normalmente de tu servidor de CA.

Puedes ejecutar un comando similar al siguiente para convertir un archivo DER (*.crt, *.cer, *.der) a PEM. En el siguiente ejemplo de comando, certnew.cer es un archivo DER.
```
openssl x509 -inform der -in certnew.cer -out certnew.pem

```
Instala el certificado raíz en el directorio openssl. El archivo certnew.pem se usa como ejemplo.
```
cp certnew.pem <path where you install the root certificate>

```
Para crear una ruta para instalar el certificado raíz, ejecuta sudo mdkir -p <ruta donde instalas el certificado raíz>.

Configura el entorno de la tarjeta inteligente

Puedes usar el script ctxsmartlogon.sh para configurar el entorno de la tarjeta inteligente o completar la configuración manualmente.

(Opción 1) Usa el script ctxsmartlogon.sh para configurar el entorno de la tarjeta inteligente

Nota:

El script ctxsmartlogon.sh agrega información de PKINIT al dominio predeterminado. Puedes cambiar esta configuración a través del archivo de configuración /etc/krb5.conf.

Antes de usar tarjetas inteligentes por primera vez, ejecuta el script ctxsmartlogon.sh para configurar el entorno de la tarjeta inteligente.

Consejo:

Si has usado SSSD para unirte al dominio, reinicia el servicio SSSD después de ejecutar ctxsmartlogon.sh.

sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
<!--NeedCopy-->

Los resultados son similares a los siguientes:

Running the ctxsmartlogon.sh script and selecting yes

También puedes deshabilitar las tarjetas inteligentes ejecutando el script ctxsmartlogon.sh:

sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
<!--NeedCopy-->

Los resultados son similares a los siguientes:

Running the ctxsmartlogon.sh script and selecting no

(Opción 2) Configura el entorno de la tarjeta inteligente manualmente

El VDA de Linux usa el mismo entorno de tarjeta inteligente que el VDA de Windows. En el entorno, se deben configurar varios componentes, incluidos el controlador de dominio, la entidad de certificación (CA) de Microsoft, Internet Information Services, Citrix StoreFront y la aplicación Citrix Workspace. Para obtener información sobre la configuración basada en la tarjeta inteligente YubiKey 4, consulta el artículo del Centro de conocimientos CTX206156.

Antes de pasar al siguiente paso, asegúrate de haber configurado todos los componentes correctamente, de haber descargado la clave privada y el certificado de usuario en la tarjeta inteligente, y de poder iniciar sesión correctamente en el VDA de Windows usando la tarjeta inteligente.

Instala los paquetes PC/SC Lite

PCSC Lite es una implementación de la especificación Personal Computer/Smart Card (PC/SC) en Linux. Proporciona una interfaz de tarjeta inteligente de Windows para comunicarse con tarjetas y lectores inteligentes. La redirección de tarjetas inteligentes en el VDA de Linux se implementa a nivel de PC/SC.

Ejecuta el siguiente comando para instalar los paquetes PC/SC Lite:

RHEL 7/CentOS 7, RHEL 8 y Rocky Linux 8:

yum install pcsc-lite pcsc-lite-ccid pcsc-lite-libs
<!--NeedCopy-->

Ubuntu 20.04, Ubuntu 18.04, Debian 10.9:

apt-get install -y libpcsclite1 libccid
<!--NeedCopy-->

Instala el controlador de la tarjeta inteligente

OpenSC es un controlador de tarjetas inteligentes muy usado. Si OpenSC no está instalado, ejecuta el siguiente comando para instalarlo:

RHEL 8, Rocky Linux 8, RHEL 7/CentOS 7:

yum install opensc
<!--NeedCopy-->

Ubuntu 20.04, Ubuntu 18.04, Debian 10.9:

apt-get install -y opensc
<!--NeedCopy-->

Instala los módulos PAM para la autenticación de tarjetas inteligentes

Ejecuta el siguiente comando para instalar los módulos pam_krb5 y krb5-pkinit.

RHEL 7/CentOS 7:

yum install pam_krb5 krb5-pkinit
<!--NeedCopy-->

RHEL 8 y Rocky Linux 8:

yum install krb5-pkinit
<!--NeedCopy-->

Ubuntu 20.04, Ubuntu 18.04:

apt-get install libpam-krb5 krb5-pkinit
<!--NeedCopy-->

Debian 10.9:

apt-get install -y libpam-krb5 krb5-pkinit
<!--NeedCopy-->

El módulo pam_krb5 es un módulo de autenticación conectable que las aplicaciones compatibles con PAM pueden usar para verificar contraseñas y obtener tickets de concesión de tickets del Centro de Distribución de Claves (KDC). El módulo krb5-pkinit contiene el complemento PKINIT que permite a los clientes obtener credenciales iniciales del KDC usando una clave privada y un certificado.

Configurar el módulo pam_krb5

El módulo pam_krb5 interactúa con el KDC para obtener tickets Kerberos usando certificados en la tarjeta inteligente. Para habilitar la autenticación pam_krb5 en PAM, ejecute el siguiente comando:

authconfig --enablekrb5 --update
<!--NeedCopy-->

En el archivo de configuración /etc/krb5.conf, agregue la información de PKINIT según el dominio real.

Nota:

La opción pkinit_cert_match especifica las reglas de coincidencia que el certificado del cliente debe cumplir antes de que se use para intentar la autenticación PKINIT. La sintaxis de las reglas de coincidencia es:

[relation-operator] component-rule …

donde relation-operator puede ser &&, lo que significa que todas las reglas de componentes deben coincidir, o ||, lo que significa que solo una regla de componente debe coincidir.

Aquí tiene un ejemplo de un archivo krb5.conf genérico:

EXAMPLE.COM = {

    kdc = KDC.EXAMPLE.COM

    auth_to_local = RULE:[1:$1@$0]

    pkinit_anchors = FILE:<path where you install the root certificate>/certnew.pem

    pkinit_kdc_hostname = KDC.EXAMPLE.COM

    pkinit_cert_match = ||<EKU>msScLogin,<KU>digitalSignature

    pkinit_eku_checking = kpServerAuth

 }
<!--NeedCopy-->

El archivo de configuración se parece al siguiente después de agregar la información de PKINIT.

Información de PKINIT agregada

Configurar la autenticación PAM

Los archivos de configuración de PAM indican qué módulos se usan para la autenticación PAM. Para agregar pam_krb5 como módulo de autenticación, agregue la siguiente línea al archivo /etc/pam.d/smartcard-auth:

auth [success=done ignore=ignore default=die] pam_krb5.so preauth_options=X509_user_identity=PKCS11:<path to the pkcs11 driver>/opensc-pkcs11.so

El archivo de configuración se parece al siguiente después de la modificación si se usa SSSD.

Archivo de configuración modificado si se usa SSSD

(Opcional) Inicio de sesión único mediante tarjetas inteligentes

El inicio de sesión único (SSO) es una función de Citrix que implementa la autenticación de paso con inicios de escritorios virtuales y aplicaciones. Esta función reduce el número de veces que los usuarios escriben su PIN. Para usar SSO con el VDA de Linux, configure la aplicación Citrix Workspace. La configuración es la misma que con el VDA de Windows. Para obtener más información, consulte el artículo de Knowledge Center CTX133982.

Habilite la autenticación con tarjeta inteligente de la siguiente manera al configurar la directiva de grupo en la aplicación Citrix Workspace.

Habilitar la autenticación con tarjeta inteligente en la aplicación Workspace

Inicio de sesión rápido con tarjeta inteligente

La tarjeta inteligente rápida es una mejora con respecto a la redirección de tarjeta inteligente HDX basada en PC/SC existente. Mejora el rendimiento cuando las tarjetas inteligentes se usan en entornos WAN de alta latencia. Para obtener más información, consulte Tarjetas inteligentes.

El VDA de Linux admite la tarjeta inteligente rápida en las siguientes versiones de la aplicación Citrix Workspace:

Citrix Receiver para Windows 4.12
Aplicación Citrix Workspace 1808 para Windows y versiones posteriores

Habilitar el inicio de sesión rápido con tarjeta inteligente en el cliente

El inicio de sesión rápido con tarjeta inteligente está habilitado de forma predeterminada en el VDA y deshabilitado de forma predeterminada en el cliente. En el cliente, para habilitar el inicio de sesión rápido con tarjeta inteligente, incluya el siguiente parámetro en el archivo default.ica del sitio de StoreFront asociado:

[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Deshabilitar el inicio de sesión rápido con tarjeta inteligente en el cliente

Para deshabilitar el inicio de sesión rápido con tarjeta inteligente en el cliente, quite el parámetro SmartCardCryptographicRedirection del archivo default.ica del sitio de StoreFront asociado.

Uso

Iniciar sesión en el VDA de Linux mediante una tarjeta inteligente

Puede usar una tarjeta inteligente para iniciar sesión en el VDA de Linux tanto en escenarios SSO como en escenarios sin SSO.

En el escenario SSO, inicia sesión en StoreFront™ automáticamente usando el certificado de tarjeta inteligente y el PIN almacenados en caché. Cuando inicia una sesión de escritorio virtual de Linux en StoreFront, el PIN se pasa al VDA de Linux para la autenticación con tarjeta inteligente.
En el escenario sin SSO, se le pedirá que seleccione un certificado y escriba un PIN para iniciar sesión en StoreFront.

Cuando inicia una sesión de escritorio virtual de Linux en StoreFront, aparece un cuadro de diálogo para iniciar sesión en el VDA de Linux como se muestra a continuación. El nombre de usuario se extrae del certificado de la tarjeta inteligente y debe escribir el PIN de nuevo para la autenticación de inicio de sesión.

Este comportamiento es el mismo que con el VDA de Windows.

Autenticación de inicio de sesión

Volver a conectar a una sesión mediante una tarjeta inteligente

Para volver a conectar a una sesión, asegúrese de que la tarjeta inteligente esté conectada al dispositivo cliente. De lo contrario, aparecerá una ventana de caché gris en el lado del VDA de Linux y se cerrará rápidamente porque la reautenticación falla sin la tarjeta inteligente conectada. En este caso, no se proporciona ninguna otra indicación para recordarle que conecte la tarjeta inteligente.

En el lado de StoreFront, sin embargo, si no hay una tarjeta inteligente conectada cuando intenta volver a conectar a una sesión, la web de StoreFront podría mostrar una alerta como la siguiente.

Insertar una tarjeta inteligente

Limitación

Soporte para distribuciones de Linux y métodos de integración de AD limitados

La autenticación de paso con tarjeta inteligente admite distribuciones de Linux y métodos de integración de AD limitados. Consulte la siguiente matriz:

	Winbind	SSSD	Centrify	Quest
RHEL 8	Sí	Sí	Sí	Sí
Rocky Linux 8	Sí	Sí	No	No
RHEL 7, CentOS 7	Sí	Sí	Sí	Sí
Ubuntu 22.04/18.04	Sí	Sí	Sí	Sí
Debian 10.9	Sí	Sí	Sí	No

Política de eliminación de tarjetas inteligentes

El VDA de Linux usa solo el comportamiento predeterminado para la eliminación de tarjetas inteligentes. Cuando quita la tarjeta inteligente después de iniciar sesión correctamente en el VDA de Linux, la sesión permanece conectada y la pantalla de la sesión no se bloquea.

Soporte para otras tarjetas inteligentes y la biblioteca PKCS#11

Aunque solo la tarjeta inteligente OpenSC aparece en nuestra lista de soporte, puede intentar usar otras tarjetas inteligentes y la biblioteca PKCS#11 porque Citrix proporciona una solución genérica de redirección de tarjetas inteligentes. Para cambiar a su tarjeta inteligente específica o a la biblioteca PKCS#11:

Reemplace todas las instancias de opensc-pkcs11.so con su biblioteca PKCS#11.
Para establecer la ruta de su biblioteca PKCS#11 en el registro, ejecute el siguiente comando:
```
/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Scard" -v "PKCS11LibPath" -d "PATH"

```
donde PATH apunta a su biblioteca PKCS#11, como /usr/lib64/pkcs11/opensc-pkcs11.so
Deshabilite el inicio de sesión rápido con tarjeta inteligente en el cliente.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Tarjetas inteligentes

April 21, 2026

Contribución de:

C C

April 21, 2026

Contribución de:

C C

En este artículo

Requisitos previos
Asegúrate de que OpenSC sea compatible con tu tarjeta inteligente
Configuración
Uso
- Iniciar sesión en el VDA de Linux mediante una tarjeta inteligente
- Volver a conectar a una sesión mediante una tarjeta inteligente
Limitación

¿Le ha resultado útil?