Product Documentation

Configurer la délégation Kerberos contrainte pour XenApp 6.5

Dec 08, 2016

Utilisez la tâche Configurer les paramètres du magasin > Délégation Kerberos pour spécifier si StoreFront utilise la délégation Kerberos contrainte pour domaine unique pour s'authentifier auprès des Delivery Controller.

Important : dans les déploiements faisant appel à de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Ceci terminé, propagez les modifications que vous avez apportées au groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.  
  1. Sur l'écran Démarrer de Windows où l'écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres du magasin, puis sur Délégation Kerberos.
  3. Choisissez d'activer ou de désactiver Utiliser la délégation Kerberos pour authentifier les Delivery Controller pour activer ou désactiver la délégation Kerberos contrainte.

Configurer le serveur StoreFront pour la délégation

Suivez cette procédure lorsque StoreFront n'est pas installé sur la même machine que XenApp.

  1. Sur le contrôleur de domaine, ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.
  2. Sur le menu Affichage, cliquez sur Fonctionnalités avancées.
  3. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom de domaine et sélectionnez le serveur StoreFront.
  4. Dans le panneau Actions, cliquez sur Propriétés.
  5. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser n'importe quel protocole d'authentification, puis cliquez sur Ajouter.
  6. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou ordinateurs.
  7. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le service XML Citrix (XenApp) dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.
  8. Sélectionnez le type de service HTTP dans la liste et cliquez sur OK.
  9. Appliquez les modifications et fermez la boîte de dialogue.

Configurer le serveur XenApp pour la délégation

Configurez la délégation approuvée Active Directory pour chaque serveur XenApp.

  1. Sur le contrôleur de domaine, ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.
  2. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom de domaine et sélectionnez le serveur exécutant le service XML Citrix (XenApp) que StoreFront est configuré pour contacter.
  3. Dans le panneau Actions, cliquez sur Propriétés.
  4. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser n'importe quel protocole d'authentification, puis cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou ordinateurs.
  6. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le service XML Citrix (XenApp) dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.
  7. Sélectionnez le type de service HOST dans la liste, cliquez sur OK et ensuite sur Ajouter.
  8. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez le nom du contrôleur de domaine dans la case Entrez les noms des objets à sélectionner et cliquez sur OK.
  9. Sélectionnez les types de service cifs et ldap dans la liste et cliquez sur OK. Remarque : si vous avez deux possibilités pour le service ldap, sélectionnez celui qui correspond au FQDN du contrôleur de domaine.
  10. Appliquez les modifications et fermez la boîte de dialogue.

Remarques importantes

Lorsque vous déterminez si vous souhaitez utiliser la délégation Kerberos contrainte, tenez compte des points suivants.

  • Points clés :
    • Vous n'avez pas besoin de ssonsvr.exe sauf si l'authentification pass-through (ou authentification pass-through par carte à puce) est effectuée sans la délégation Kerberos contrainte.
  • Authentification pass-through au domaine StoreFront et Citrix Receiver pour Web :
    • Vous n'avez pas besoin de ssonsvr.exe sur le client.
    • Vous pouvez définir un nom d'utilisateur et un mot de passe local quelconque dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Ajoutez le nom de domaine complet (FQDN) de StoreFront à la liste des sites de confiance d'Internet Explorer. Cochez la case Utiliser le nom de l'utilisateur local dans les paramètres de sécurité d'Internet Explorer pour la zone de confiance.
    • Le client doit figurer dans un domaine.
    • Activez la méthode d'authentification Authentification pass-through au domaine sur le serveur StoreFront et Citrix Receiver pour Web.
  • StoreFront, Citrix Receiver pour Web et authentification par carte à puce avec invite de saisie du code PIN :
    • Vous n'avez pas besoin de ssonsvr.exe sur le client.
    • L'authentification par carte à puce a été configurée.
    • Vous pouvez définir un nom d'utilisateur et un mot de passe local quelconque dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Activez la méthode d'authentification Carte à puce sur le serveur StoreFront et Citrix Receiver pour Web.
    • Pour vous assurer que l'authentification par carte à puce est choisie, ne cochez pas la case Utiliser le nom de l'utilisateur local dans les paramètres de sécurité d'Internet Explorer pour le site StoreFront.
    • Le client doit figurer dans un domaine.
  • NetScaler Gateway, StoreFront, Citrix Receiver pour Web et authentification par carte à puce avec invite de saisie du code PIN :
    • Vous n'avez pas besoin de ssonsvr.exe sur le client.
    • L'authentification par carte à puce a été configurée.
    • Vous pouvez définir un nom d'utilisateur et un mot de passe local quelconque dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Activez la méthode d'authentification Authentification pass-through via NetScaler Gateway sur le serveur StoreFront et Citrix Receiver pour Web.
    • Pour vous assurer que l'authentification par carte à puce est choisie, ne cochez pas la case Utiliser le nom de l'utilisateur local dans les paramètres de sécurité d'Internet Explorer pour le site StoreFront.
    • Le client doit figurer dans un domaine.
    • Configurez NetScaler Gateway pour l'authentification par carte à puce et configurez le lancement d'un autre vServer à l'aide du routage StoreFront HDX afin d'acheminer le trafic ICA via le vServer NetScaler Gateway non authentifié.
  • Citrix Receiver pour Windows (AuthManager), authentification par carte à puce avec invite de saisie du code PIN et StoreFront :
    • Vous n'avez pas besoin de ssonsvr.exe sur le client.
    • Vous pouvez définir un nom d'utilisateur et un mot de passe local quelconque dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Le client doit figurer dans un domaine.
    • Activez la méthode d'authentification Carte à puce sur le serveur StoreFront.
  • Citrix Receiver pour Windows (AuthManager), Kerberos et StoreFront :
    • Vous n'avez pas besoin de ssonsvr.exe sur le client.
    • Vous pouvez définir un nom d'utilisateur et un mot de passe local quelconque dans le modèle icaclient.adm Citrix (contrôle la fonction ssonsvr.exe).
    • Le paramètre Kerberos du modèle icaclient.adm est requis.
    • Cochez la case Utiliser le nom de l'utilisateur local dans les paramètres de sécurité d'Internet Explorer pour la zone de confiance.
    • Le client doit figurer dans un domaine.
    • Activez la méthode d'authentification Authentification pass-through au domaine sur le serveur StoreFront.
    • Assurez-vous que cette clé de registre est définie :

Avertissement : la modification incorrecte du Registre peut entraîner des problèmes graves pouvant nécessiter la réinstallation de votre système d'exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d'une mauvaise utilisation de l'Éditeur du Registre. Utilisez l’Éditeur du Registre à vos risques. Effectuez une copie de sauvegarde de votre registre avant de le modifier.

Pour les ordinateurs 32 bits : HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows
Nom : SSONCheckEnabled
type : REG_SZ
Valeur : true ou false

Pour les ordinateurs 64 bits : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows

Nom : SSONCheckEnabled
type : REG_SZ
Valeur : true ou false