Installer et configurer

4 juin 2018

Cet article contient ces sections :

Checklist d’installation et de configuration

Ordre d’installation et de configuration

Créer un magasin central

Installer et configurer le module de réinitialisation en libre-service des mots de passe

Gérer les configurations utilisateur

Gérer les questions de vérification d’identité

Gérer la vérification d’identité

Checklist d’installation et de configuration

Avant de commencer l’installation, effectuez les tâches de cette liste :

Étapes Étape
  Choisir les ordinateurs de votre environnement sur lesquels vous allez installer le logiciel et les préparer pour l’installation. Consultez la section Configuration système requise.
  Installer le certificat TLS et les comptes requis pour le service. Consultez la rubrique Exigences en matière de sécurité et de compte dans la section Configuration système requise.
  Installer le serveur de licences. Consultez la documentation sur le serveur de licences.
  Créer un magasin central. Consultez la section Créer un magasin central.
  Installer le module de réinitialisation en libre-service des mots de passe. Consultez la section Installer et configurer le module de réinitialisation en libre-service des mots de passe.
  Configurer le module de réinitialisation en libre-service des mots de passe à l’aide de la console. Consultez la section Installer et configurer le module de réinitialisation en libre-service des mots de passe.
  Configurer le module de réinitialisation en libre-service des mots de passe sur StoreFront. Consultez la section Configurer StoreFront.
  Assurez-vous que la configuration de la réinitialisation en libre-service des mots de passe est configurée de manière sécurisée. Consultez la section Sécuriser la configuration.
 
Installer le certificat SSL et les comptes requis pour le service. Consultez la section Exigences en matière de sécurité et de compte.
 
Installer le certificat SSL et les comptes requis pour le service. Consultez la section Exigences en matière de sécurité et de compte.
 
Configurer le module de réinitialisation en libre-service des mots de passe sur StoreFront. Consultez la section Configurer StoreFront.

Ordre d’installation et de configuration

Pour installer le service et exécuter l’assistant de configuration du service, le compte avec lequel vous vous connectez doit être un utilisateur du domaine et appartenir au groupe Administrateur local sur le serveur.

Nous vous suggérons d’installer le module de réinitialisation en libre-service des mots de passe dans l’ordre suivant :

  1. Installez ou mettez à niveau le serveur de licences vers une version minimale de 11.13.1.2.Téléchargez le serveur de licences à partir de https://www.citrix.com/downloads/licensing.html.
  2. Créez votre magasin central.
  3. Installez le module de réinitialisation en libre-service des mots de passe.
  4. Configurez le module de réinitialisation en libre-service des mots de passe dans la console.
  5. Configurez StoreFront avec l’adresse du serveur de réinitialisation en libre-service des mots de passe.

Créer un magasin central

Pour des raisons de sécurité, nous vous recommandons de créer le magasin central directement sur la machine exécutant le service de réinitialisation en libre-service des mots de passe. Pour les déploiements dans lesquels plus d’un serveur de réinitialisation en libre-service des mots de passe est requis, vous pouvez héberger le magasin central sur un partage réseau distant si le serveur de réinitialisation en libre-service des mots de passe et le serveur hébergeant le partage prennent tous deux en charge le cryptage SMB.

Cette fonctionnalité est disponible uniquement sur Windows Server 2012 R2 ou Windows Server 2016.

Créer un compte de proxy de données

Créez un utilisateur de domaine normal à utiliser comme compte de proxy de données. Ne configurez pas d’utilisateur depuis le groupe Administrateur de domaine/Administrateur local en tant que compte de proxy de données.

Créer un magasin central pour Windows Server 2012 R2 ou Windows Server 2016

Lors de l’utilisation de Windows Server 2012 R2 ou Windows Server 2016 pour le serveur de réinitialisation en libre-service des mots de passe et le magasin central, vous pouvez utiliser un partage réseau distant s’il est configuré comme décrit dans cette section. Assurez-vous que Chiffrer l’accès aux données est sélectionné et suivez les indications de la section Sécuriser la configuration.

  1. Pour démarrer l’assistant Nouveau partage, ouvrez Gestionnaire de serveur. Depuis la page de détails Services de fichiers et de stockage, sélectionnez Partages dans le panneau de gauche et cliquez sur Tâches > Nouveau partage.
  2. Choisissez Sélectionner le profil dans le panneau de gauche, sélectionnez Partage SMB - rapide et cliquez sur Suivant.
  3. Choisissez Emplacement du partage dans le panneau de gauche. Dans la liste, sélectionnez le serveur sur lequel créer le nouveau partage et le volume sur lequel créer le nouveau dossier partagé, puis cliquez sur Suivant.
  4. Choisissez Nom de partage dans le panneau de gauche, tapez le nom de votre nouveau partage, par exemple CITRIXSYNC$ et cliquez sur Suivant.
  5. Choisissez Autres paramètres dans le panneau de gauche, sélectionnez Chiffrer les données, désélectionnez Autoriser la mise en cache du partage et cliquez sur Suivant.
  6. Pour personnaliser les autorisations de partage, choisissez Autorisations dans le volet de gauche, puis sélectionnez Personnaliser les autorisations > Partager. o Supprimer tout le monde o Ajouter un compte proxy de données avec contrôle total o Ajouter des administrateurs locaux avec contrôle total o Ajouter des administrateurs de domaine avec contrôle total
  7. Pour personnaliser les autorisations NTFS, choisissez Autorisations dans le panneau de gauche, sélectionnez Personnaliser les autorisations, cliquez sur Désactiver l’héritage et sélectionnez Convertir les autorisations héritées en autorisations explicites sur cet objet.

image localisée

8. Pour supprimer tous les utilisateurs à l’exception de Créateur propriétaire/Administrateurs locaux/Système, sur Personnaliser les autorisations > Autorisations, cliquez sur Supprimer.

9. Pour modifier Créateur propriétaire > Autorisations avancées, cliquez sur Modifier et décochez les cases suivantes :

  • Contrôle total
  • Supprimer les sous-dossiers et les fichiers
  • Modifier les permissions
  • Prendre possession

image localisée

10. Ajoutez un compte de proxy de données avec contrôle total.

11. Choisissez Confirmation dans le panneau de gauche de l’assistant Nouveau partage, vérifiez les paramètres sélectionnés pour le partage et cliquez sur Créer pour lancer le processus de création du nouveau dossier, puis sur Fermer.

12. Créez deux sous-dossiers situés sous le dossier de partage CITRIXSYNC$ : le dossier CentralStoreRoot et le dossier People.

Important : assurez-vous que le compte de proxy de données dispose d’un Contrôle total sur ces deux sous-dossiers.

Vous devez configurer EncryptData, RejectUnencryptedAccess et RequireSecuritySignature pour le magasin central de la Réinitialisation en libre-service des mots de passe. Pour plus d’informations sur la configuration, consultez les articles Microsoft suivants : https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbshare

Installer et configurer le module de réinitialisation en libre-service des mots de passe

Le pack d’installation figure sur le support d’installation de XenApp et XenDesktop.

  1. Démarrez l’assistant d’installation du module de réinitialisation en libre-service des mots de passe et suivez les étapes.
  2. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix pour configurer le service de réinitialisation en libre-service des mots de passe de Citrix.
  3. Lorsque la console s’ouvre, suivez ces trois procédures de base pour configurer le service.

image localisée

Configuration du service

Avant de configurer le service, assurez-vous d’avoir créé le magasin central, le compte de proxy de données et le compte en libre-service.

  1. Sélectionnez Configuration du service dans le panneau du milieu, puis cliquez sur Nouvelle configuration du service dans le panneau de droite.
  2. Sur l’écran Emplacement du magasin central, spécifiez l’emplacement du magasin central et cliquez sur Suivant.
  3. Sur l’écran Configurations de domaines, sélectionnez un domaine et cliquez sur Propriétés.
  4. Spécifiez le nom d’utilisateur et le mot de passe du compte du proxy de données ainsi que le nom d’utilisateur et le mot de passe du compte en libre-service, puis cliquez sur OK.
  5. Sur l’écran Liste blanche d’adresses IP, entrez les adresses IP autorisées à se connecter au service de réinitialisation en libre-service des mots de passe. Si vous n’entrez aucune adresse IP, toutes les adresses IP sont placées sur liste blanche. Cliquez sur Suivant, puis sur Terminer.

Configuration utilisateur

  1. Dans le panneau de gauche, sélectionnez Configuration utilisateur, puis cliquez sur Nouvelle configuration utilisateur dans le panneau de droite.
  2. Sur l’écran Nommer la configuration utilisateur, définissez les groupes d’utilisateurs cible du service de réinitialisation en libre-service des mots de passe, ajoutez des utilisateurs/groupes/unités d’organisation depuis Active Directory et cliquez sur Suivant.
  3. Sur l’écran Configurer les licences, spécifiez le serveur de licences, puis cliquez sur Suivant.
  4. Sur l’écran Configurer la réinitialisation des mots de passe, utilisez les cases à cocher pour indiquer si les utilisateurs peuvent réinitialiser leurs mots de passe Windows et déverrouiller leurs comptes de domaine sans l’intervention de l’administrateur, indiquez l’adresse et le port du service et cliquez sur Créer.

Pour de plus amples informations sur la gestion des configurations utilisateur, consultez la section Gérer les configurations utilisateur.

Vérification d’identité

  1. Dans le panneau de gauche, sélectionnez le nœud Vérification d’identité, puis cliquez sur Gérer les questions dans le panneau de droite.
  2. Sur l’écran Authentification avec questions, sélectionnez la langue par défaut, utilisez la case à cocher pour afficher ou masquer les réponses aux questions de sécurité, puis cliquez sur Suivant.
  3. Sur l’écran Questions de sécurité, cliquez sur Ajouter une question, tapez une question dans la zone de texte, cliquez sur OK, puis cliquez sur Suivant.
  4. Sur l’écran Questionnaire, cliquez sur Ajouter et sélectionnez une question. Vous pouvez réorganiser vos questions et groupes avec les boutons Monter et Descendre. Lorsque vous en avez terminé avec cette page, cliquez sur Créer et OK.

Pour de plus amples informations sur la gestion des questions de vérification d’identité, consultez la section Gérer les questions de vérification d’identité.

Gérer les configurations utilisateur

Une configuration utilisateur vous permet de contrôler le comportement et l’apparence de l’interface lorsque les utilisateurs se connectent à StoreFront. La création d’une nouvelle configuration constitue la dernière étape à suivre avant de distribuer le module de réinitialisation en libre-service des mots de passe aux utilisateurs de votre environnement. Vous pouvez modifier à tout moment les configurations utilisateur existantes.

Une configuration utilisateur constitue une collection unique de paramètres que vous appliquez à des utilisateurs associés à une hiérarchie Active Directory (une unité organisationnelle ou un utilisateur) ou à un groupe Active Directory.

Une configuration utilisateur comporte les éléments suivants :

  • Les utilisateurs associés à une hiérarchie de domaine Active Directory (unité organisationnelle ou utilisateur) ou à un groupe Active Directory.

Important : les groupes de distribution et les groupes locaux de domaine en mode Active Directory mixte ne sont pas pris en charge.

  • Serveur de licences
  • Fonctionnalités en libre-service (déverrouillage de compte et réinitialisation de mot de passe)

Avant de créer vos configurations utilisateur, assurez-vous que vous avez déjà créé ou défini les éléments suivants :

  • Magasin central
  • Configuration du service

Pour créer une configuration utilisateur

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Configurations utilisateur.
  3. À partir du menu Actions, cliquez sur Ajouter une nouvelle configuration utilisateur.

Pour ajouter des utilisateurs, une unité d’organisation ou un groupe

La page Nommer la configuration utilisateur de l’assistant Configuration utilisateur vous permet d’associer la configuration utilisateur aux utilisateurs.

Association de la configuration utilisateur :

Vous disposez de deux options d’association des utilisateurs : à une hiérarchie de domaine Active Directory (unité organisationnelle ou utilisateur) ou à un groupe Active Directory. Si nécessaire, vous pouvez associer la configuration utilisateur à une autre hiérarchie ou un autre groupe plus tard, en cliquant sur Modifier la configuration utilisateur dans le menu Actions.

L’association de configurations utilisateur à des groupes n’est prise en charge que dans des domaines Active Directory utilisant l’authentification Active Directory.

Sélectionnez l’unité d’organisation, les utilisateurs ou le groupe sur la page Nommer la configuration utilisateur (à partir de l’assistant Nouvelle configuration utilisateur ou Modifier la configuration utilisateur).

Remarque : nous ne vous recommandons pas d’inclure de comptes avec privilèges (par exemple, Administrateurs locaux ou Administrateurs de domaine) dans le groupe d’utilisateurs pour lequel le compte de réinitialisation en libre-service des mots de passe peut réinitialiser des mots de passe. Utilisez un nouveau groupe dédié.

Pour configurer les licences

La page Configurer les licences de l’assistant Configuration utilisateur vous permet de configurer le serveur de licences utilisé par le service de réinitialisation en libre-service des mots de passe.

Remarque : vous pouvez utiliser les fonctionnalités Déverrouiller et réinitialiser uniquement si vous disposez de l’édition Platinum de XenApp ou XenDesktop.

Entrez le nom du serveur de licences et le numéro de port sur la page Configurer les licences (à partir de l’assistant Nouvelle configuration utilisateur ou Modifier la configuration utilisateur).

Pour activer les fonctionnalités de déverrouillage ou de réinitialisation

La réinitialisation en libre-service des mots de passe permet aux utilisateurs de réinitialiser leur mot de passe et déverrouiller leurs comptes de domaine Windows sans intervention de l’administrateur. Dans la page Activer réinitialisation en libre-service des mots de passe, vous pouvez sélectionner les fonctionnalités à activer.

Sélectionnez le composant que vous souhaitez que les utilisateurs utilisent : Déverrouiller ou Réinitialiser sur la page Activer réinitialisation en libre-service des mots de passe (à partir de l’assistant Nouvelle configuration utilisateur ou Modifier la configuration utilisateur).

Pour configurer une liste noire

Les administrateurs informatiques peuvent ajouter des utilisateurs et des groupes à la liste noire. Les utilisateurs et groupes présents dans une liste noire ne peuvent utiliser aucune des fonctionnalités de la Réinitialisation en libre-service des mots de passe - y compris l’inscription, le déverrouillage de compte et la réinitialisation des mots de passe. De même, un utilisateur répertorié sur la liste noire ne voit pas le bouton TÂCHE sur Citrix Receiver après s’être connecté.

Pour configurer la liste noire

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau de gauche, sélectionnez Configuration utilisateur, puis cliquez sur Configuration de la liste noire dans le panneau de droite.
  3. Utilisez les boutons Ajouter et Supprimer pour ajouter et supprimer des utilisateurs ou groupes de la liste noire.

Gérer les questions de vérification d’identité

La vérification d’identité de la console Configuration du module de réinitialisation en libre-service des mots de passe de Citrix fournit un emplacement central permettant de gérer toutes les questions de sécurité associées à la vérification d’identité, à la réinitialisation en libre-service des mots de passe et au déverrouillage de compte. Vous pouvez ajouter vos propres questions de sécurité à la liste de questions par défaut et créer des groupes de questions.

  • Si vous modifiez les questions fournies par défaut après l’enregistrement des réponses des utilisateurs, tenez compte de la signification des questions modifiées. La modification d’une question n’oblige pas un utilisateur à se réinscrire. Toutefois, si la signification d’une question est changée, les utilisateurs qui ont répondu auparavant à cette question peuvent se retrouver incapables d’y apporter une réponse.
  • L’ajout, la suppression et le remplacement de questions de sécurité après inscription des utilisateurs avec les anciennes questions entraînent l’impossibilité pour ces utilisateurs de s’authentifier et de réinitialiser leur mot de passe tant qu’ils ne sont pas réinscrits. Les utilisateurs doivent répondre à des nouvelles questions lorsqu’ils ouvrent les tâches dans Receiver.
  • Chaque question de sécurité peut appartenir à plusieurs groupes de questions de sécurité. Lorsque vous créez des groupes de questions de sécurité, toutes vos questions peuvent être utilisées dans n’importe quel groupe.

Utilisez ces étapes pour accéder aux paramètres référencés dans les procédures suivantes :

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Vérification d’identité.
  3. À partir du menu Actions, cliquez sur Gérer les questions.

Pour définir la langue par défaut

Dans la plupart des cas, les utilisateurs voient les questions de sécurité s’afficher dans la langue associée à leur profil utilisateur actuel. Si la langue n’est pas disponible, la réinitialisation en libre-service des mots de passe affiche les questions dans la langue par défaut spécifiée.

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Vérification d’identité.
  3. À partir du menu Actions, cliquez sur Gérer les questions.
  4. Dans la liste déroulante Langue par défaut de la page Authentification avec questions, sélectionnez la langue par défaut.

Pour activer le masquage des réponses de sécurité

Le masquage des réponses de sécurité apporte un niveau de sécurité supplémentaire à vos utilisateurs lorsqu’ils enregistrent leurs réponses aux questions de sécurité ou qu’ils enregistrent leurs questions de sécurité ou qu’ils fournissent leurs réponses lors de la vérification d’identité. Lorsque cette fonctionnalité est activée, les réponses des utilisateurs sont masquées. Lors de l’enregistrement des réponses, ces utilisateurs sont invités à taper leurs réponses deux fois afin d’éviter les fautes de frappe ou d’orthographe. Les utilisateurs ne doivent taper leurs réponses qu’une seule fois lors de la validation d’identité, puisqu’ils sont invités à réessayer en cas d’erreur.

Sélectionnez Masquer les réponses aux questions de sécurité sur la page Authentification avec questions.

Pour créer de nouvelles questions de sécurité

Vous pouvez créer différentes questions et choisir une langue pour chacune d’entre elles. Vous pouvez aussi saisir plusieurs traductions d’une même question. L’inscription dans Receiver présente à l’utilisateur le questionnaire dans la langue définie dans les paramètres de langue de son profil. Si la langue n’est pas disponible, la réinitialisation en libre-service des mots de passe affiche les questions dans la langue par défaut.

Remarque : lorsque vous sélectionnez une langue pour une question de sécurité, la question est présentée aux utilisateurs dont les paramètres de système d’exploitation sont définis pour cette langue. Si les paramètres de système d’exploitation sélectionnés ne correspondent pas à ceux de certaines questions disponibles, la langue par défaut est utilisée.

  1. Depuis la liste déroulante Langue de la page Questions de sécurité, sélectionnez une langue et cliquez sur Ajouter une question. La boîte de dialogue Question de sécurité s’affiche.
  2. Créez la nouvelle question dans la boîte de dialogue Question de sécurité.

Important : utilisez le bouton Modifier pour ajouter le texte traduit des questions existantes. Si vous sélectionnez Ajouter une question, vous créez une nouvelle question qui n’est pas associée à l’original.

Pour ajouter ou modifier le texte de questions existantes

L’ajout, la suppression et le remplacement de questions de sécurité après inscription des utilisateurs avec les anciennes questions entraînent l’impossibilité pour ces utilisateurs de s’authentifier et de réinitialiser leur mot de passe tant qu’ils ne sont pas réinscrits. Les utilisateurs doivent répondre à des nouvelles questions lorsqu’ils ouvrent les tâches dans Receiver. La modification d’une question n’oblige pas un utilisateur à se réinscrire.

Important : si vous modifiez une question existante, préservez-en le sens. Dans le cas contraire, il est possible que les réponses des utilisateurs ne correspondent pas lors des authentifications ultérieures. En d’autres termes, l’utilisateur risque de fournir une réponse ne correspondant pas à la réponse enregistrée.

  1. Sélectionnez une langue dans la liste déroulante Langue sur la page Questions de sécurité.
  2. Sélectionnez la question et cliquez sur Modifier.
  3. Modifiez la question dans la boîte de dialogue Question de sécurité.

Pour créer un groupe de questions de sécurité

Vous pouvez créer des questions de sécurité auxquelles répondent vos utilisateurs pour confirmer leur identité. Chaque question ajoutée au questionnaire doit recevoir une réponse des utilisateurs. Cependant, vous pouvez également rassembler ces questions dans un groupe de questions de sécurité.

Les groupes de questions permettent d’ajouter, par exemple, six questions à un questionnaire et de permettre aux utilisateurs de choisir de ne répondre qu’à trois d’entre elles. Ils bénéficient ainsi d’une plus grande souplesse dans la sélection des questions et la saisie des réponses de vérification d’identité.

  1. Cliquez sur Ajouter un groupe sur la page Questions de sécurité.
  2. Dans la boîte de dialogue Groupe de questions de sécurité, donnez un nom au groupe, sélectionnez les questions et spécifiez le nombre de questions auquel l’utilisateur doit répondre.

Pour modifier un groupe de questions de sécurité

Sélectionnez le groupe de questions de sécurité à modifier et cliquez sur Modifier sur la page Questions de sécurité. La boîte de dialogue Groupe de questions de sécurité présente une liste de questions de sécurité pouvant faire partie du groupe. Les questions du groupe sont signalées par une coche. Vous pouvez modifier le nom du groupe, ajouter des questions au groupe et sélectionner le nombre de questions nécessitant une réponse de l’utilisateur.

Pour ajouter ou supprimer le questionnaire existant

Ajoutez ou supprimez des questions et des groupes de questions de sécurité du questionnaire. Déplacez les questions vers le haut ou vers le bas pour organiser leur ordre de présentation. Si le questionnaire a été modifié, informez l’utilisateur qu’il doit réenregistrer des questions après l’ouverture de session StoreFront.

  1. Cliquez sur Ajouter sur la page Questionnaire pour ajouter une question ou un groupe au questionnaire.
  2. Cliquez sur Supprimer pour supprimer une question du questionnaire.
  3. Cliquez sur Monter ou Descendre pour gérer les questions présentées à l’utilisateur.

Gérer la vérification d’identité

La réinitialisation en libre-service des mots de passe vous permet d’effectuer ce qui suit :

  • Importer ou exporter les questions de sécurité.
  • Révoquer les questions de sécurité d’un utilisateur.

Pour importer ou exporter les questions de sécurité

Vous pouvez importer ou exporter les données de groupes et questions de sécurité.

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Vérification d’identité.
  3. Dans le menu Actions, cliquez sur l’une des options suivantes :

    Importer les questions de sécurité Spécifiez l’emplacement du fichier sur lequel importer les données des groupes et questions de sécurité.

    Exporter les questions de sécurité Spécifiez l’emplacement du fichier sur lequel exporter les données des groupes et questions de sécurité.