Configurer l’authentification pass-through au domaine avec Kerberos

Cette rubrique s’applique uniquement aux connexions entre Citrix Receiver pour Windows et StoreFront, XenDesktop ou XenApp.

Citrix Receiver pour Windows prend en charge l’authentification pass-through au domaine Kerberos pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses à l’authentification Windows intégrée (IWA).

Lorsque l’authentification Kerberos est activée, Kerberos gère l’authentification sans mots de passe à la place de Citrix Receiver pour Windows, ce qui évite les attaques de type cheval de Troie destinées à obtenir les mots de passe sur la machine utilisateur. Les utilisateurs peuvent ouvrir une session sur la machine utilisateur par le biais de n’importe quelle méthode d’authentification, notamment un identificateur biométrique (par exemple, un lecteur d’empreintes digitales), et accéder aux ressources publiées sans autre authentification.

Citrix Receiver pour Windows gère l’authentification pass-through avec Kerberos comme suit lorsque Citrix Receiver pour Windows, StoreFront, XenDesktop et XenApp sont configurés pour l’authentification par carte à puce et qu’un utilisateur ouvre une session avec une carte à puce :

  1. Le service SSO de Citrix Receiver pour Windows capture le code PIN de la carte à puce.
  2. Citrix Receiver pour Windows utilise IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à Citrix Receiver pour Windows les informations sur les applications et bureaux virtuels disponibles. Remarque : vous n’avez pas besoin d’utiliser l’authentification Kerberos pour cette étape. L’activation de Kerberos sur Citrix Receiver pour Windows est uniquement requise afin d’éviter d’avoir à saisir de nouveau un code PIN. Si vous n’utilisez pas l’authentification Kerberos, Citrix Receiver pour Windows s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.
  3. Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce à XenDesktop ou XenApp afin de connecter l’utilisateur à la session Windows. XenDesktop ou XenApp met ensuite à disposition les ressources demandées.

Pour utiliser l’authentification Kerberos avec Citrix Receiver pour Windows, assurez-vous que la configuration de Kerberos est conforme à ce qui suit.

  • Kerberos fonctionne uniquement entre Citrix Receiver pour Windows et des serveurs appartenant aux mêmes domaines Windows ou des domaines approuvés. Les serveurs doivent également être approuvés pour délégation, une option configurée via l’outil de gestion des utilisateurs et machines Active Directory.
  • Kerberos doit être activé sur le domaine et dans XenDesktop et XenApp. Pour renforcer la sécurité et vous assurer que Kerberos est utilisé, désactivez toute option IWA non Kerberos sur le domaine.
  • L’ouverture de session Kerberos n’est pas disponible pour les connexions Services Bureau à distance configurées pour utiliser l’authentification de base, pour toujours utiliser des informations d’ouverture de session spécifiées, ou pour toujours inviter les utilisateurs à entrer un mot de passe.

Le reste de cette rubrique décrit comment configurer l’authentification pass-through au domaine pour les scénarios les plus courants. Si vous migrez vers StoreFront depuis l’Interface Web et que vous avez précédemment utilisé une solution d’authentification personnalisée, contactez votre représentant de support technique Citrix pour de plus amples informations.

Avertissement

Certaines des configurations décrites dans cette rubrique impliquent de modifier le registre. Une utilisation incorrecte de l’Éditeur du Registre peut occasionner de sérieux problèmes qui pourraient nécessiter l’installation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.

Pour configurer l’authentification pass-through au domaine avec Kerberos en vue de l’utilisation avec des cartes à puce

Si vous n’avez jamais procédé à des déploiements avec carte à puce dans un environnement XenDesktop, nous vous recommandons de lire les informations relatives aux cartes à puce dans la section Sécuriser votre déploiement de la documentation XenDesktop avant de continuer.

Lorsque vous installez Citrix Receiver pour Windows, incluez l’option de ligne de commande suivante :

  • /includeSSON

    Cette option installe le composant SSO sur l’ordinateur appartenant au domaine, ce qui permet à Citrix Receiver pour Windows de s’authentifier auprès de StoreFront à l’aide de IWA (Kerberos). Le composant SSO stocke le code PIN de la carte à puce, qui est ensuite utilisé par le moteur HDX lorsqu’il transmet à distance le matériel et les informations d’identification de la de carte à puce à XenDesktop. XenDesktop sélectionne automatiquement un certificat à partir de la carte à puce et obtient le code PIN à partir du moteur HDX.

    Une option connexe, ENABLE_SSON, est activée par défaut et doit rester activée.

    Si une stratégie de sécurité empêche l’activation du SSO sur un appareil, configurez Citrix Receiver pour Windows via la stratégie suivante :

    Modèles d’administration > Modèles d’administration classiques (ADM) > Composants Citrix > Citrix Receiver > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux

    Remarque : dans ce scénario, vous voulez autoriser le moteur HDX à utiliser l’authentification par carte à puce et non Kerberos, c’est la raison pour laquelle vous ne devez pas utiliser l’option ENABLE_KERBEROS=Yes, ce qui forcerait le moteur HDX à utiliser Kerberos.

Pour appliquer les paramètres, redémarrez Citrix Receiver pour Windows sur la machine utilisateur.

Pour configurer StoreFront :

  • Dans le fichier default.ica situé sur le serveur StoreFront, définissez DisableCtrlAltDel sur false. Remarque : cette étape n’est pas nécessaire si toutes les machines clientes exécutent Citrix Receiver pour Windows 4.2 ou version ultérieure.
  • Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez la case Authentification pass-through au domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner la case Carte à puce sauf si vous disposez également de clients n’appartenant pas au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

À propos de l’API FastConnect et de l’authentification de base HTTP

L’API FastConnect utilise la méthode d’authentification HTTP basique, qui est souvent confondue avec les méthodes d’authentification associées à l’authentification pass-through au domaine, l’authentification Kerberos et l’authentification IWA. Citrix recommande de désactiver IWA sur StoreFront et dans la stratégie de groupe ICA.