Configurar la autenticación PassThrough de dominio con Kerberos

Lo descrito en este artículo se aplica solo a conexiones entre Citrix Receiver para Windows y StoreFront, XenDesktop o XenApp.

Citrix Receiver para Windows respalda Kerberos para la autenticación PassThrough de dominio en implementaciones que usan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación de Windows integrada (IWA).

Cuando la autenticación Kerberos está habilitada, Kerberos se autentica sin contraseña de Citrix Receiver para Windows, y así impide ataques de tipo troyano que intentan acceder a las contraseñas del dispositivo de usuario. Los usuarios pueden iniciar una sesión en el dispositivo de usuario con cualquier método de autenticación; por ejemplo, un autenticador biométrico, tal como un lector de huellas digitales, y aún acceder a los recursos publicados sin necesidad de otra autenticación.

Citrix Receiver para Windows gestiona la autenticación PassThrough con Kerberos del siguiente modo cuando Citrix Receiver para Windows, StoreFront, XenDesktop y XenApp están configurados para usar la autenticación con tarjeta inteligente y el usuario inicia sesión con una tarjeta inteligente:

  1. El servicio Single Sign-on de Citrix Receiver para Windows captura el PIN de la tarjeta inteligente.
  2. Citrix Receiver para Windows usa la autenticación integrada de Windows (Kerberos) para autenticar al usuario en StoreFront. A continuación, StoreFront proporciona a Citrix Receiver para Windows información sobre las aplicaciones y los escritorios virtuales disponibles. Nota: No tiene que usar autenticación Kerberos para este paso. Solo se necesita habilitar Kerberos en Citrix Receiver para Windows para evitar que se vuelva a pedir el PIN. Si no se usa la autenticación Kerberos, Citrix Receiver para Windows se autentica en StoreFront con las credenciales de la tarjeta inteligente.
  3. El motor de HDX (antes conocido como cliente ICA) pasa el PIN de la tarjeta inteligente a XenDesktop o XenApp para iniciar la sesión Windows del usuario. A continuación, XenDesktop o XenApp entregan los recursos solicitados.

Para usar autenticación Kerberos con Citrix Receiver para Windows, compruebe que la configuración de Kerberos cumple lo siguiente.

  • Kerberos solo funciona entre Citrix Receiver para Windows y servidores que pertenecen a los mismos dominios de Windows o a dominios que son de confianza. Los servidores también deben ser de confianza para la delegación, una opción que se configura a través de la herramienta de administración de usuarios y equipos de Active Directory.
  • Kerberos debe estar habilitado en el dominio y en XenDesktop y XenApp. Para mayor seguridad y para asegurarse de que se utiliza Kerberos, inhabilite las demás opciones que no sean Kerberos IWA en el dominio.
  • El inicio de sesión con Kerberos no está disponible para conexiones de Servicios de escritorio remoto configuradas para usar autenticación Básica, para usar siempre la información de inicio de sesión especificada o para pedir siempre una contraseña.

El resto de este tema describe cómo configurar la autenticación PassThrough de dominio para los escenarios de uso más frecuentes. Si migra a StoreFront desde la Interfaz Web y previamente utilizó una solución de autenticación personalizada, póngase en contacto con un representante del servicio de asistencia de Citrix Support para obtener más información.

Advertencia

Parte de las configuraciones descritas en este tema contienen modificaciones del Registro. El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del Registro antes de editarlo.

Para configurar la autenticación PassThrough de dominio con Kerberos para usarla con tarjetas inteligentes

Si no está familiarizado con implementaciones de tarjeta inteligente en un entorno XenDesktop, le recomendamos que consulte la información sobre tarjetas inteligentes que figura en la sección Proteger la implementación de la documentación de XenDesktop antes de continuar.

Cuando instale Citrix Receiver para Windows, incluya la opción siguiente en la línea de comandos:

  • /includeSSON

    Esta opción instala el componente Single Sign-On en el equipo unido a un dominio, lo que permite a Citrix Receiver para Windows autenticarse en StoreFront mediante IWA (Kerberos). El componente Single Sign-on guarda el PIN de la tarjeta inteligente, que luego es utilizado por el motor HDX cuando comunica de forma remota el hardware de tarjeta inteligente y las credenciales a XenDesktop. XenDesktop selecciona automáticamente un certificado desde la tarjeta inteligente y obtiene el PIN desde el motor HDX.

    Hay una opción relacionada, ENABLE_SSON, que está habilitada de manera predeterminada y debe dejarse así.

    Si hay una directiva de seguridad que impide la habilitación de Single Sign-On en un dispositivo, configure Citrix Receiver para Windows con la directiva siguiente:

    Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Componentes de Citrix > Citrix Receiver > Autenticación de usuarios > Nombre de usuario y contraseña locales

    Nota: En este caso, quiere permitir que el motor de HDX use la autenticación con tarjeta inteligente y no Kerberos, de modo que no use la opción ENABLE_KERBEROS=Yes, ya que forzaría al motor de HDX a usar Kerberos.

Para aplicar la configuración, reinicie Citrix Receiver para Windows en el dispositivo de usuario.

Para configurar StoreFront:

  • En el archivo default.ica ubicado en el servidor StoreFront, defina DisableCtrlAltDel con el valor false. Nota: Este paso no es necesario si todas las máquinas cliente ejecutan Citrix Receiver para Windows 4.2 o una versión posterior.
  • Durante la configuración del servicio de autenticación en el servidor StoreFront, marque la casilla PassThrough de dominio. Este parámetro habilita la autenticación de Windows integrada (IWA). No es necesario marcar la casilla Tarjeta inteligente a menos que también tenga clientes que no estén unidos a un dominio conectándose a StoreFront con tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Acerca de la API de FastConnect y la autenticación básica HTTP

La API de FastConnect usa el método de autenticación básica HTTP, que frecuentemente se confunde con métodos de autenticación asociados con el paso de credenciales de dominio (PassThrough), Kerberos y la autenticación integrada de Windows (IWA). Citrix recomienda inhabilitar IWA en StoreFront y en la directiva de grupo ICA.