Product Documentation

Configuración de la delegación Kerberos limitada para XenApp 6.5

Jun 29, 2017

Utilice la tarea Configurar parámetros de la tienda > Delegación de Kerberos para especificar si StoreFront emplea una delegación de Kerberos limitada en un único dominio para autenticarse en los Delivery Controllers.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.  
  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione una tienda. En el panel Acciones, haga clic en Configurar parámetros de la tienda y, a continuación, haga clic en Delegación Kerberos.
  3. Habilite o inhabilite la Delegación Kerberos para autenticarse en los Delivery Controllers.

Configuración del servidor StoreFront para la delegación

Siga este procedimiento cuando StoreFront no esté instalado en la misma máquina que XenApp.

  1. En el controlador de dominio, abra el complemento Usuarios y equipos de Active Directory en la consola MMC.
  2. En el menú Ver, haga clic en Características avanzadas.
  3. En el panel izquierdo, haga clic en el nodo Equipos bajo el nombre de dominio y seleccione el servidor StoreFront.
  4. En el panel Acción, haga clic en Propiedades.
  5. En la ficha Delegación, haga clic en Confiar en este equipo para la delegación sólo a los servicios especificados y Usar cualquier protocolo de autenticación y, a continuación, haga clic en Agregar.
  6. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos.
  7. En el cuadro de diálogo Seleccionar usuarios o equipos, escriba el nombre del servidor que ejecuta Citrix XML Service (XenApp) en el cuadro Escriba los nombres de objeto que quiere seleccionar y, a continuación, haga clic en Aceptar.
  8. Seleccione el tipo de servicio HTTP en la lista y, a continuación, haga clic en Aceptar.
  9. Aplique los cambios y cierre el cuadro de diálogo.

Configuración del servidor XenApp para la delegación

Configure la delegación de confianza de Active Directory para todos los servidores XenApp.

  1. En el controlador de dominio, abra el complemento Usuarios y equipos de Active Directory en la consola MMC.
  2. En el panel izquierdo, haga clic en el nodo Equipos debajo del nombre de dominio y seleccione el servidor que ejecuta Citrix XML Service (XenApp) con el que StoreFront está configurado para contactar.
  3. En el panel Acción, haga clic en Propiedades.
  4. En la ficha Delegación, haga clic en Confiar en este equipo para la delegación sólo a los servicios especificados y Usar cualquier protocolo de autenticación y, a continuación, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos.
  6. En el cuadro de diálogo Seleccionar usuarios o equipos, escriba el nombre del servidor que ejecuta Citrix XML Service (XenApp) en el cuadro Escriba los nombres de objeto que quiere seleccionar y, a continuación, haga clic en Aceptar.
  7. Seleccione el tipo de servicio HOST en la lista y, a continuación, haga clic en Aceptar y luego en Agregar.
  8. En el cuadro de diálogo Seleccionar usuarios o equipos, escriba el nombre del controlador de dominio en el cuadro Escriba los nombres de objeto que desea seleccionar y, a continuación, haga clic en Aceptar.
  9. Seleccione los tipos de servicio cifs y ldap de la lista y haga clic en Aceptar. Nota: Si aparecen dos opciones para el servicio ldap, seleccione la que coincida con el nombre de dominio completo (FQDN) del controlador de dominio.
  10. Aplique los cambios y cierre el cuadro de diálogo.

Consideraciones importantes

Cuando deba decidir si quiere utilizar la delegación Kerberos limitada, tenga en cuenta la siguiente información.

  • Notas importantes:
    • No necesita ssonsvr.exe a menos que realice la autenticación PassThrough (o la autenticación PassThrough con tarjeta inteligente con PIN) sin la delegación Kerberos limitada.
  • Autenticación PassThrough de dominio para StoreFront y Citrix Receiver para Web:
    • No necesita ssonsvr.exe en el cliente.
    • Puede establecer el nombre de usuario y la contraseña locales que quiera en la plantilla icaclient.adm de Citrix (controla la función de ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Agregue el nombre de dominio completo (FQDN) de StoreFront a la lista de sitios de confianza de Internet Explorer. Marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de confianza.
    • El cliente debe estar en un dominio.
    • Habilite el método de autenticación PassThrough de dominio en el servidor StoreFront y habilítelo también para Citrix Receiver para Web.
  • StoreFront, Citrix Receiver para Web y autenticación con tarjeta inteligente con solicitud de PIN:
    • No necesita ssonsvr.exe en el cliente.
    • La autenticación con tarjeta inteligente ya se ha configurado.
    • Puede establecer el nombre de usuario y la contraseña locales que quiera en la plantilla icaclient.adm de Citrix (controla la función de ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Habilite el método de autenticación con tarjeta inteligente en el servidor StoreFront y habilítelo para Citrix Receiver para Web.
    • Para garantizar la elección de la autenticación con tarjeta inteligente, no marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de sitios de StoreFront.
    • El cliente debe estar en un dominio.
  • NetScaler Gateway, StoreFront, Citrix Receiver para Web y autenticación con tarjeta inteligente con solicitud de PIN:
    • No necesita ssonsvr.exe en el cliente.
    • La autenticación con tarjeta inteligente ya se ha configurado.
    • Puede establecer el nombre de usuario y la contraseña locales que quiera en la plantilla icaclient.adm de Citrix (controla la función de ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Habilite el método de autenticación PassThrough desde NetScaler Gateway en el servidor StoreFront y habilítelo para Citrix Receiver para Web.
    • Para garantizar la elección de la autenticación con tarjeta inteligente, no marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de sitios de StoreFront.
    • El cliente debe estar en un dominio.
    • Configure NetScaler Gateway para la autenticación con tarjeta inteligente y configure un servidor virtual adicional para que se inicie mediante el enrutamiento HDX de StoreFront para dirigir el tráfico ICA a través del servidor virtual no autenticado de NetScaler Gateway.
  • Citrix Receiver para Windows (AuthManager), autenticación con tarjeta inteligente con petición de PIN y StoreFront:
    • No necesita ssonsvr.exe en el cliente.
    • Puede establecer el nombre de usuario y la contraseña locales que quiera en la plantilla icaclient.adm de Citrix (controla la función de ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • El cliente debe estar en un dominio.
    • Habilite el método de autenticación con Tarjeta inteligente en el servidor StoreFront.
  • Citrix Receiver para Windows (AuthManager), Kerberos y StoreFront:
    • No necesita ssonsvr.exe en el cliente.
    • Puede establecer el nombre de usuario y la contraseña locales que quiera en la plantilla icaclient.adm de Citrix (controla la función de ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de confianza.
    • El cliente debe estar en un dominio.
    • Habilite el método de autenticación PassThrough de dominio en el servidor StoreFront.
    • Compruebe que se ha definido esta clave de Registro:

Precaución: Si modifica el Registro de forma incorrecta, podrían generarse problemas graves que pueden provocar la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Debe hacer una copia de seguridad del Registro antes de editarlo.

Para maquinas de 32 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows
Nombre: SSONCheckEnabled
Tipo: REG_SZ
Valor: true o false

Para máquinas de 64 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows

Nombre: SSONCheckEnabled
Tipo: REG_SZ
Valor: true o false