Configurer l’authentification pass-through au domaine avec Kerberos

Cette rubrique s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows, StoreFront et Citrix Virtual Apps and Desktops.

L’application Citrix Workspace prend en charge l’authentification pass-through au domaine Kerberos pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses à l’authentification Windows intégrée (IWA).

Lorsque l’authentification Kerberos est activée, Kerberos gère l’authentification sans mots de passe pour l’application Citrix Workspace, ce qui évite les attaques de type cheval de Troie destinées à obtenir les mots de passe sur la machine utilisateur. Les utilisateurs peuvent ouvrir une session avec la méthode d’authentification de leur choix et accéder aux ressources publiées. Par exemple, un système d’authentification biométrique tel qu’un lecteur d’empreinte digitale peut être utilisé.

Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront et Citrix Virtual Apps and Desktops configurés pour l’authentification par carte à puce, l’application Citrix Workspace effectue les opérations suivantes :

  1. capture le code PIN de la carte à puce pendant le processus Single Sign-on ;
  2. utilise IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à l’application Workspace les informations relatives à la disponibilité de Citrix Virtual Apps and Desktops.

Remarque

Activez Kerberos pour éviter l’affichage d’invites de saisie de code PIN supplémentaires. Si vous n’utilisez pas l’authentification Kerberos, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.

  1. Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce au VDA afin de connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops fournit ensuite les ressources demandées.

Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, assurez-vous que la configuration de Kerberos respecte les critères suivants.

  • Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs appartenant aux mêmes domaines Windows Server ou à des domaines approuvés. Les serveurs doivent également être approuvés pour délégation, une option configurée via l’outil de gestion des utilisateurs et machines Active Directory.
  • Kerberos doit être activé sur le domaine et dans Citrix Virtual Apps and Desktops. Pour renforcer la sécurité et vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non Kerberos sur le domaine.
  • L’ouverture de session Kerberos n’est pas disponible pour les connexions Services Bureau à distance configurées pour utiliser l’authentification de base, pour toujours utiliser les informations d’ouverture de session spécifiées, ou pour toujours inviter les utilisateurs à entrer un mot de passe.

Avertissement

Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à sauvegarder le registre avant de le modifier.

Configurer l’authentification pass-through au domaine avec Kerberos en vue de l’utilisation avec des cartes à puce

Avant de poursuivre, consultez les informations relatives aux cartes à puce dans la section Sécuriser votre déploiement de la documentation Citrix Virtual Apps and Desktops.

Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :

  • /includeSSON

    Cette option installe le composant Single Sign-on sur l’ordinateur appartenant au domaine, ce qui permet à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de IWA (Kerberos). Le composant Single Sign-on mémorise le code PIN de la carte à puce, qui est ensuite utilisé par le moteur HDX pour transmettre à distance le matériel et les informations d’identification de la carte à puce à Citrix Virtual Apps and Desktops. Citrix Virtual Apps and Desktops sélectionne automatiquement un certificat à partir de la carte à puce et obtient le code PIN à partir du moteur HDX.

    L’option associée ENABLE\_SSON est activée par défaut.

Si une stratégie de sécurité vous empêche d’activer Single Sign-on sur une machine, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sélectionnez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through.
  4. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

    image localisée

Pour configurer StoreFront :

Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Authentification pass-through au domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous disposez également de clients n’appartenant pas au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Configurer l’authentification pass-through au domaine avec Kerberos