Documentation produit
StoreFront
Current Release 2203 LTSR 1912 LTSR 1909 1906 1903 3.12
Voir PDF

Configurer la délégation Kerberos contrainte pour XenApp 6.5

December 8, 2021
Contributeur: 
C

Remarque :

XenApp 6.5 a atteint la fin de vie (EOL) et est désormais couvert par le programme de support étendu.

Utilisez la tâche Configurer les paramètres du magasin > Délégation Kerberos pour spécifier si StoreFront utilise la délégation Kerberos contrainte pour domaine unique pour s’authentifier auprès des Delivery Controller.

Important : dans les déploiements comprenant de multiples serveurs, n’utilisez qu’un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n’est exécutée sur aucun des serveurs dans le déploiement. Une fois ce processus terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.

  1. Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres du magasin, puis sur Délégation Kerberos.
  3. Choisissez d’activer ou de désactiver Utiliser la délégation Kerberos pour authentifier les Delivery Controller pour activer ou désactiver la délégation Kerberos contrainte.

Configurer le serveur StoreFront pour la délégation

Suivez cette procédure lorsque StoreFront n’est pas installé sur la même machine que Citrix Virtual Apps.

  1. Sur le contrôleur de domaine, ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.
  2. Sur le menu Affichage, cliquez sur Fonctionnalités avancées.
  3. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom de domaine et sélectionnez le serveur StoreFront.
  4. Dans le panneau Actions, cliquez sur Propriétés.
  5. Sur l’onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser n’importe quel protocole d’authentification, puis cliquez sur Ajouter.
  6. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou ordinateurs.
  7. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le Citrix Virtual Apps and Desktops XML Service dans la zone de texte Entrez le nom de l’objet à sélectionner, puis cliquez sur OK.
  8. Sélectionnez le type de service HTTP dans la liste et cliquez sur OK.
  9. Appliquez les modifications et fermez la boîte de dialogue.

Configurer le serveur Citrix Virtual Apps pour la délégation

Configurez la délégation approuvée Active Directory pour chaque serveur Citrix Virtual Apps.

  1. Sur le contrôleur de domaine, ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.
  2. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom de domaine et sélectionnez le serveur exécutant le Citrix Virtual Apps and Desktops XML Service que StoreFront est configuré pour contacter.
  3. Dans le panneau Actions, cliquez sur Propriétés.
  4. Sur l’onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser n’importe quel protocole d’authentification, puis cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou ordinateurs.
  6. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le Citrix Virtual Apps and Desktops XML Service dans la zone de texte Entrez le nom de l’objet à sélectionner, puis cliquez sur OK.
  7. Sélectionnez le type de service HOST dans la liste, cliquez sur OK et ensuite sur Ajouter.
  8. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez le nom du contrôleur de domaine dans la case Entrez les noms des objets à sélectionner et cliquez sur OK.
  9. Sélectionnez les types de service cifs et ldap dans la liste et cliquez sur OK. Remarque : si vous avez deux possibilités pour le service ldap, sélectionnez celui qui correspond au FQDN du contrôleur de domaine.
  10. Appliquez les modifications et fermez la boîte de dialogue.

Remarques importantes

Lorsque vous déterminez si vous souhaitez utiliser la délégation Kerberos contrainte, tenez compte des points suivants.

  • Points clés :
    • Vous n’avez pas besoin de ssonsvr.exe sauf si l’authentification pass-through (ou authentification pass-through par carte à puce) est effectuée sans la délégation Kerberos contrainte.
  • Authentification pass-through au domaine StoreFront et Citrix Receiver pour Web :
    • Vous n’avez pas besoin de ssonsvr.exe sur le client.
    • Vous pouvez définir un nom d’utilisateur et un mot de passe locaux quelconques dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Ajoutez le nom de domaine complet (FQDN) de StoreFront à la liste des sites de confiance d’Internet Explorer. Cochez la case Utiliser le nom de l’utilisateur local dans les paramètres de sécurité d’Internet Explorer pour la zone de confiance.
    • Le client doit figurer dans un domaine.
    • Activez la méthode d’authentification Authentification pass-through au domaine sur le serveur StoreFront et Citrix Receiver pour Web.
  • StoreFront, Citrix Receiver pour Web et authentification par carte à puce avec invite de saisie du code PIN :
    • Vous n’avez pas besoin de ssonsvr.exe sur le client.
    • L’authentification par carte à puce a été configurée.
    • Vous pouvez définir un nom d’utilisateur et un mot de passe locaux quelconques dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Activez la méthode d’authentification Carte à puce sur le serveur StoreFront et Citrix Receiver pour Web.
    • Pour vous assurer que l’authentification par carte à puce est choisie, ne cochez pas la case Utiliser le nom de l’utilisateur local dans les paramètres de sécurité d’Internet Explorer pour le site StoreFront.
    • Le client doit figurer dans un domaine.
  • Citrix Gateway, StoreFront, Citrix Receiver pour Web et authentification par carte à puce avec invite de saisie du code PIN :
    • Vous n’avez pas besoin de ssonsvr.exe sur le client.
    • L’authentification par carte à puce a été configurée.
    • Vous pouvez définir un nom d’utilisateur et un mot de passe locaux quelconques dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Activez la méthode d’authentification Authentification pass-through via Citrix Gateway sur le serveur StoreFront et Citrix Receiver pour Web.
    • Pour vous assurer que l’authentification par carte à puce est choisie, ne cochez pas la case Utiliser le nom de l’utilisateur local dans les paramètres de sécurité d’Internet Explorer pour le site StoreFront.
    • Le client doit figurer dans un domaine.
    • Configurez Citrix Gateway pour l’authentification par carte à puce et configurez le lancement d’un autre vServer à l’aide du routage StoreFront HDX afin d’acheminer le trafic ICA via le serveur virtuel Citrix Gateway non authentifié.
  • Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows (AuthManager), authentification par carte à puce avec invite de saisie du code PIN et StoreFront :
    • Vous n’avez pas besoin de ssonsvr.exe sur le client.
    • Vous pouvez définir un nom d’utilisateur et un mot de passe locaux quelconques dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Le client doit figurer dans un domaine.
    • Activez la méthode d’authentification Carte à puce sur le serveur StoreFront.
  • Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows (AuthManager), Kerberos et StoreFront :
    • Vous n’avez pas besoin de ssonsvr.exe sur le client.
    • Vous pouvez définir un nom d’utilisateur et un mot de passe locaux quelconques dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Cochez la case Utiliser le nom de l’utilisateur local dans les paramètres de sécurité d’Internet Explorer pour la zone de confiance.
    • Le client doit figurer dans un domaine.
    • Activez la méthode d’authentification Authentification pass-through au domaine sur le serveur StoreFront.

    • Assurez-vous que cette clé de registre est définie :

      Attention :

      Toute utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de l’Éditeur du Registre. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

      Pour les ordinateurs 32 bits : HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows Nom : SSONCheckEnabled Type : REG_SZ Valeur : true ou false

      Pour les ordinateurs 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows Nom : SSONCheckEnabled Type : REG_SZ Valeur : true ou false

Configurer la délégation Kerberos contrainte pour XenApp 6.5
December 8, 2021
Contributeur: 
C
December 8, 2021
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.