Servicio de autenticación federada
Puedes usar el Servicio de autenticación federada (FAS) para autenticar a los usuarios que inician sesión en un VDA de Linux. El VDA de Linux utiliza el mismo entorno de Windows que el VDA de Windows para la función de inicio de sesión de FAS. Para obtener información sobre cómo configurar el entorno de Windows para FAS, consulta Servicio de autenticación federada. Este artículo proporciona información adicional específica para el VDA de Linux.
Nota:
El VDA de Linux no admite la directiva de comportamiento en la sesión.
El VDA de Linux utiliza conexiones cortas para transmitir datos con los servidores FAS.
Distribuciones compatibles
FAS admite un número limitado de distribuciones de Linux y métodos de unión a dominios. Consulta la siguiente matriz:
| Winbind | SSSD | Centrify | PBIS | Quest | |
|---|---|---|---|---|---|
| Debian 12.9/11.11 | Sí | Sí | Sí | Sí | No |
| RHEL 9.6/9.4/9.2 | Sí | Sí | Sí | No | Sí |
| RHEL 8.10/8.8 | Sí | Sí | Sí | Sí | Sí |
| Rocky Linux 9.6/9.4/9.2 | Sí | Sí | Sí | No | No |
| Rocky Linux 8.10/8.8 | Sí | Sí | Sí | No | No |
| SUSE 15.6 | Sí | Sí | Sí | No | No |
| Ubuntu 24.04 | Sí | Sí | Sí | No | No |
| Ubuntu 22.04 | Sí | Sí | Sí | Sí | Sí |
Configurar FAS en el VDA de Linux
Instalar certificados
Para verificar los certificados de los usuarios, instala el certificado de CA raíz y todos los certificados intermedios en el VDA. Por ejemplo, para instalar el certificado de CA raíz, obtén el certificado raíz de AD del paso anterior Recuperar el certificado de CA de la CA de Microsoft (en AD), o descárgalo del servidor de CA raíz http://CA-SERVER/certsrv.
Nota:
Los siguientes comandos también se aplican a la configuración de un certificado intermedio.
Por ejemplo, para convertir un archivo DER (.crt, .cer, .der) a PEM, ejecuta un comando similar al siguiente:
sudo openssl x509 -inform der -in root.cer -out root.pem
<!--NeedCopy-->
Luego, instala el certificado de CA raíz en el directorio openssl ejecutando un comando similar al siguiente:
- sudo cp root.pem /etc/pki/CA/certs/
<!--NeedCopy-->
Nota:
No coloques el certificado de CA raíz en la ruta /root. De lo contrario, FAS no tendrá permiso de lectura para el certificado de CA raíz.
Ejecutar ctxfascfg.sh
Ejecuta el script ctxfascfg.sh para configurar FAS:
sudo /opt/Citrix/VDA/sbin/ctxfascfg.sh
<!--NeedCopy-->
Puedes ejecutar ctxfascfg.sh en modo silencioso. Antes de ejecutar el script en modo silencioso, establece las siguientes variables de entorno:
-
CTX_FAS_ADINTEGRATIONWAY=winbind | sssd | centrify | pbis | quest: Indica el método de integración de Active Directory, que es igual a
CTX_EASYINSTALL_ADINTEGRATIONWAYcuando se especificaCTX_EASYINSTALL_ADINTEGRATIONWAY. Si no se especificaCTX_EASYINSTALL_ADINTEGRATIONWAY,CTX_FAS_ADINTEGRATIONWAYutiliza su propio valor. -
CTX_FAS_CERT_PATH =<certificate path>: Especifica la ruta completa donde se almacenan el certificado raíz y todos los certificados intermedios.
-
CTX_FAS_KDC_HOSTNAME: Especifica el nombre de host del Centro de distribución de claves (KDC) cuando seleccionas PBIS y Quest.
-
CTX_FAS_PKINIT_KDC_HOSTNAME: Especifica el nombre de host del KDC de PKINIT, que es igual a CTX_FAS_KDC_HOSTNAME a menos que se especifique lo contrario. Si tienes varios Delivery Controllers, agrega los nombres de host de todos los KDC del dominio a pkinit_kdc_hostname en el archivo /etc/krb5.conf. Para obtener más información, consulta el artículo del Centro de conocimiento CTX322129.
-
CTX_FAS_SERVER_LIST=’list-fas-servers’ – Los servidores del Servicio de autenticación federada (FAS) se configuran a través de la Directiva de grupo de AD. Para obtener información sobre la configuración de la directiva FAS en la GPO de dominio, consulta Configurar la Directiva de grupo. El VDA de Linux no admite la Directiva de grupo de AD, pero puedes proporcionar una lista de servidores FAS separada por punto y coma. La secuencia debe ser la misma que la configurada en la Directiva de grupo de AD. Si se elimina alguna dirección de servidor, rellena su espacio en blanco con la cadena de texto ’<none>‘ y no modifiques el orden de las direcciones de los servidores. Para comunicarte correctamente con los servidores FAS, asegúrate de añadir un número de puerto coherente con el número de puerto especificado en los servidores FAS, por ejemplo, CTX_XDL_FAS_LIST=’fas_server_1_url:port_number; fas_server_2_url: port_number; fas_server_3_url: port_number’.
Para actualizar una instalación existente del VDA de Linux, puedes ejecutar los siguientes comandos para configurar los servidores FAS y reiniciar el servicio
ctxvdapara que la configuración surta efecto.- sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -t "REG_SZ" -v "Addresses" -d "<Your-FAS-Server-List>" --force systemctl restart ctxjproxy - systemctl restart ctxvda <!--NeedCopy-->Para actualizar los servidores FAS a través de
ctxreg, ejecuta los siguientes comandos:sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -v "Addresses" -d "<Your-FAS-Server-List>" systemctl restart ctxjproxy systemctl restart ctxvda <!--NeedCopy-->
Elige el método de integración de Active Directory correcto y, a continuación, escribe la ruta correcta de los certificados (por ejemplo, /etc/pki/CA/certs/).
El script instala los paquetes krb5-pkinit y pam_krb5 y establece los archivos de configuración relevantes. Para RHEL 8 y versiones posteriores, como PAM_KRB5 se ha movido al repositorio EPEL, el script intenta habilitar EPEL en esas distribuciones.
Deshabilitar FAS
Para deshabilitar FAS en el VDA de Linux, quita todos los servidores FAS de ConfDB mediante los siguientes comandos:
sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -t "REG_SZ" -v "Addresses" -d "" --force
systemctl restart ctxjproxy
systemctl restart ctxvda
<!--NeedCopy-->
Habilitar la autenticación secundaria para fallos de SSO de FAS
El VDA de Linux proporciona una mayor resistencia al inicio de sesión al ofrecer un método de autenticación secundaria específicamente cuando falla el inicio de sesión único (SSO) de FAS. Con esta función, si el SSO de FAS encuentra problemas, se pide a los usuarios que introduzcan manualmente sus credenciales para la autenticación por contraseña. Para habilitar la función, ejecuta el siguiente comando:
create -k "HKLM\System\CurrentControlSet\Control\Citrix\AccessControl\Login\Global" -t "REG_DWORD" -v "SecondaryAuthEnabled" -d "0x00000001" --force
<!--NeedCopy-->
Limitación
- FAS aún no es compatible con la pantalla de bloqueo. Si haces clic en el botón de bloqueo en una sesión, no podrás volver a iniciar sesión en ella usando FAS.
- Esta versión solo admite las implementaciones comunes de FAS resumidas en el artículo Descripción general de la arquitectura del Servicio de autenticación federada y no incluye Windows 10 Azure AD Join.
Solución de problemas
Antes de solucionar problemas de FAS, asegúrate de que:
- El VDA de Linux está instalado y configurado correctamente.
- Se puede iniciar una sesión sin FAS correctamente en el almacén común mediante autenticación por contraseña.
Si las sesiones que no son de FAS funcionan correctamente, establece el nivel de registro HDX de la clase Login en VERBOSE y el nivel de registro de VDA en TRACE. Para obtener información sobre cómo habilitar el registro de seguimiento para el VDA de Linux, consulta el artículo del Centro de conocimientos CTX220130.
También puedes usar la herramienta XDPing de Linux para comprobar si hay problemas de configuración comunes que puedan existir en tu entorno VDA de Linux.
Error de configuración del servidor FAS
No se puede iniciar una sesión desde el almacén de FAS.
- Comprueba /var/log/xdl/hdx.log y busca el registro de errores similar al siguiente:
Your-FAS-Server-List
2021-01-28 01:42:16.164
2021-01-28 01:42:16.164
2021-01-28 01:42:16.164
2021-01-28 01:42:16.164
- 2021-01-28 01:42:16.164
citrix-ctxlogin: validate_fas: failed to connect to server [0], please confirm if fas service list is well configurated in condb
2021-01-28 01:42:16.164
2021-01-28 01:42:16.164
2021-01-28 01:42:16.164
#### Solución
Ejecuta el siguiente comando para verificar que el valor del registro de Citrix "HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Citrix\\VirtualDesktopAgent\\Authentication\\UserCredentialService" esté establecido en \<Tu-Lista-de-Servidores-FAS\>.
<!--NeedCopy-->
| sudo /opt/Citrix/VDA/bin/ctxreg dump | grep “UserCredentialService” |
Si la configuración existente es incorrecta, sigue el paso anterior [Establecer servidores FAS](/en-us/linux-virtual-delivery-agent/2503/configure/authentication/federated-authentication-service.html) para configurarlo de nuevo.
### Configuración incorrecta del certificado de CA
No se puede iniciar una sesión desde el almacén de FAS. Aparece una ventana gris y desaparece varios segundos después.
Comprueba **/var/log/xdl/hdx.log** y busca el registro de errores similar al siguiente:
<!--NeedCopy-->
2021-01-28 01:47:46.210
2021-01-28 01:47:46.210
2021-01-28 01:47:46.210
2021-01-28 01:47:46.211
2021-01-28 01:47:46.270
2021-01-28 01:47:46.270
2021-01-28 01:47:46.270
2021-01-28 01:47:46.271
2021-01-28 01:47:46.271
2021-01-28 01:47:46.271
2021-01-28 01:47:46.271
2021-01-28 01:47:48.060
#### Solución
Verifica que hayas configurado correctamente en `/etc/krb5.conf` la ruta completa que almacena el certificado raíz de CA y todos los certificados intermedios. La ruta completa es similar a la siguiente:
<!--NeedCopy-->
[realms]
EXAMPLE.COM = {
......
pkinit_anchors = DIR:/etc/pki/CA/certs/
......
}
Si la configuración existente es incorrecta, sigue el paso anterior [Instalar certificados](/en-us/linux-virtual-delivery-agent/2503/configure/authentication/federated-authentication-service.html#install-certificates) para configurarlo de nuevo.
Alternativamente, comprueba si el certificado raíz de CA es válido.
### Error de asignación de cuenta de sombra
FAS está configurado mediante autenticación SAML. El siguiente error puede ocurrir después de que un usuario de ADFS introduzca el nombre de usuario y la contraseña en la página de inicio de sesión de ADFS.
El error indica que:
- El usuario de ADFS se ha verificado correctamente, pero no hay ningún usuario de sombra configurado en AD.
#### Solución
Configura la cuenta de sombra en AD.
### ADFS no configurado
El siguiente error ocurre durante un intento de inicio de sesión en el almacén de FAS:
El problema ocurre cuando configuras el almacén de FAS para usar la autenticación SAML, pero falta la implementación de ADFS.
#### Solución
Implementa el IdP de ADFS para el Servicio de autenticación federada. Para obtener más información, consulta [Implementación de ADFS del Servicio de autenticación federada](/en-us/federated-authentication-service/2503/deployment-architectures/adfs.html).
## Información relacionada
- Las implementaciones comunes de FAS se resumen en el artículo [Descripción general de la arquitectura del Servicio de autenticación federada](/en-us/federated-authentication-service/2503/deployment-architectures.html).
- Los artículos "Cómo hacer" se presentan en el capítulo [Configuración avanzada del Servicio de autenticación federada](/en-us/federated-authentication-service/2503/config-manage.html).
## Problemas conocidos
Cuando FAS está en uso, puedes fallar al intentar iniciar una sesión de escritorio o aplicación publicada con caracteres no ingleses.
### Solución alternativa
Haz clic con el botón derecho en **Administrar plantillas** en la herramienta de CA para cambiar la plantilla **Citrix\_SmartcardLogon** de **Crear a partir de esta información de Active Directory** a **Proporcionar en la solicitud**:
<!--NeedCopy-->