Configurer StoreFront à l’aide des fichiers de configuration

Cet article décrit les tâches de configuration supplémentaires qui ne peuvent pas être effectuées à l’aide de la console de gestion Citrix StoreFront.

Important :

Dans les déploiements faisant appel à de multiples serveurs, n’utilisez qu’un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n’est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez vos modifications apportées à la configuration au groupe de serveurs afin que les autres serveurs du déploiement soient mis à jour.

Activer la signature de fichier ICA

StoreFront permet de signer numériquement les fichiers ICA afin que les versions de l’application Citrix Workspace qui prennent en charge cette fonctionnalité puissent vérifier que le fichier provient d’une source approuvée. Lorsque la signature des fichiers est activée dans StoreFront, le fichier ICA généré quand un utilisateur lance une application est signé à l’aide d’un certificat provenant du magasin de certificats personnels du serveur StoreFront. Les fichiers ICA peuvent être signés en utilisant n’importe quel algorithme de hachage pris en charge par le système d’exploitation exécuté sur le serveur StoreFront. La signature numérique est ignorée par les clients qui ne prennent pas en charge cette fonctionnalité ou qui ne sont pas configurés pour la signature de fichier ICA. Si la procédure de signature échoue, le fichier ICA est généré sans signature numérique puis envoyé à Citrix Receiver, dont la configuration détermine si le fichier non signé sera accepté ou non.

Pour pouvoir être utilisés pour la signature de fichier ICA avec StoreFront, les certificats doivent inclure la clé privée et se situer dans la période de validité autorisée. Si le certificat contient une extension d’utilisation de la clé, celle-ci doit permettre l’utilisation de la clé pour les signatures numériques. Si une extension d’utilisation de la clé prolongée est incluse, elle doit être définie sur la signature de code ou l’authentification de serveur.

Pour la signature de fichier ICA, Citrix vous recommande d’utiliser un certificat de signature de code ou SSL que vous pouvez vous procurer auprès d’une autorité de certification publique ou de l’autorité de certification publique de votre organisation. Si vous ne parvenez pas à obtenir un certificat approprié auprès d’une autorité de certification, vous pouvez utiliser un certificat SSL existant, par exemple un certificat de serveur ou créer un nouveau certificat racine d’autorité de certification et le distribuer sur les périphériques des utilisateurs.

La signature de fichier ICA est désactivée par défaut dans les magasins. Pour activer la signature de fichier ICA, modifiez le fichier de configuration du magasin et exécutez les commandes Windows PowerShell. Pour plus d’informations sur l’activation de la signature de fichiers ICA dans l’application Citrix Workspace, consultez la section Signature de fichier ICA pour se protéger contre le lancement d’applications ou de bureaux provenant de serveurs non approuvés.

Remarque :

les consoles StoreFront et PowerShell ne peuvent pas être ouvertes en même temps. Fermez toujours la console d’administration StoreFront avant d’utiliser la console PowerShell pour administrer votre configuration StoreFront. De même, fermez toutes les instances de PowerShell avant d’ouvrir la console StoreFront.

  1. Assurez-vous que le certificat que vous souhaitez utiliser pour signer les fichiers ICA est disponible dans le magasin de certificats Citrix Delivery Services du serveur StoreFront et non dans le magasin de certificats de l’utilisateur actuel.

  2. Utilisez un éditeur de texte pour ouvrir le fichier web.config du magasin, qui se trouve en général dans le répertoire C:\inetpub\wwwroot\Citrix\nommagasin\, où nommagasin désigne le nom attribué au magasin au moment de sa création.

  3. Recherchez la section suivante dans le fichier.

    <certificateManager>
        <certificates>
            <clear />
            <add ... />
            ...
        </certificates>
    </certificateManager>
    
  4. Incluez les détails du certificat à utiliser pour la signature.

    <certificateManager>
        <certificates>
            <clear />
            <add id="certificateid" thumb="certificatethumbprint" />
            <add ... />
        ...
        </certificates>
    </certificateManager>
    

    certificateid correspond à la valeur qui vous permet d’identifier le certificat dans le fichier de configuration du magasin et certificatethumbprint correspond au résumé (ou à l’empreinte numérique) des données du certificat produites par l’algorithme de hachage.

  5. Recherchez l’élément suivant dans le fichier.

    <icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" />
    
  6. Modifiez la valeur de l’attribut enabled sur True pour activer la signature de fichier ICA pour le magasin. Définissez la valeur de l’attribut certificateId sur l’ID que vous avez utilisé pour identifier le certificat, c’est-à-dire certificateid à l’étape 4.

  7. Si vous souhaitez utiliser un algorithme de hachage autre que SHA-1, définissez la valeur de l’attribut hashAgorithm sur sha256, sha384 ou sha512, selon les besoins.

  8. À l’aide d’un compte avec des autorisations d’administrateur local, démarrez Windows PowerShell et, à l’invite de commandes, tapez les commandes suivantes pour permettre au magasin d’accéder à la clé privée.

    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands
      $certificate = Get-DSCertificate "certificatethumbprint"
    Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName "IIS APPPOOL\Citrix Delivery Services Resources"
    

    Où certificatethumbprint est le condensé des données de certificat produites par l’algorithme de hachage.

Désactiver l’association de type de fichier

Par défaut, l’association de type de fichier est activée dans les magasins, afin que le contenu soit redirigé en toute transparence vers les applications auxquelles les utilisateurs se sont abonnés lorsqu’ils ouvrent des fichiers locaux des types appropriés. Pour désactiver l’association de type de fichier, modifiez le fichier de configuration du magasin.

  1. Utilisez un éditeur de texte pour ouvrir le fichier web.config du magasin, qui se trouve en général dans le répertoire C:\inetpub\wwwroot\Citrix\nommagasin\, où nommagasin désigne le nom attribué au magasin au moment de sa création.

  2. Recherchez l’élément suivant dans le fichier.

    <farmset ... enableFileTypeAssociation="on" ... >
    
  3. Réglez la valeur de l’attribut enableFileTypeAssociation sur off pour désactiver l’association de type de fichier pour le magasin.

Personnaliser la boîte de dialogue d’ouverture de session de l’application Citrix Workspace

Lorsque les utilisateurs se connectent à un magasin, aucun texte de titre ne s’affiche par défaut dans la boîte de dialogue de connexion. Vous pouvez afficher le texte par défaut « Please log on » ou composer votre propre message personnalisé. Pour afficher et personnaliser le texte du titre dans la boîte de dialogue de connexion, modifiez les fichiers du service d’authentification.

  1. Utilisez un éditeur de texte pour ouvrir le fichier UsernamePassword.tfrm du serveur d’authentification, qui est généralement situé dans le répertoire C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\.

  2. Recherchez les lignes suivantes dans le fichier.

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
    
  3. Supprimez les marques de commentaire pour l’instruction en supprimant le début @* et la fin *@ .

    @Heading("ExplicitAuth:AuthenticateHeadingText")
    

    Les utilisateurs de l’application Citrix Workspace voient le texte de titre par défaut s’afficher « Please log on », ou la version localisée appropriée de ce texte (Veuillez ouvrir une session), lorsqu’ils ouvrent une session sur les magasins qui utilisent ce service d’authentification.

  4. Pour modifier le texte du titre, utilisez un éditeur de texte pour ouvrir le fichier ExplicitFormsCommon.xx.resx du service d’authentification, qui est généralement situé dans le répertoire C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\.

  5. Recherchez les éléments suivants dans le fichier. Modifiez le texte compris entre l’élément <value> pour modifier le texte de titre que les utilisateurs verront sur la boîte de dialogue d’ouverture de session lorsqu’ils accèdent aux magasins qui utilisent ce service d’authentification.

    <data name="AuthenticateHeadingText" xml:space="preserve">
        <value>My Company Name</value>
    </data>
    

    Pour modifier le texte de titre de la boîte de dialogue d’ouverture de session pour les utilisateurs d’autres paramètres régionaux, modifiez les fichiers localisés ExplicitAuth.languagecode.resx, où languagecode est l’identificateur de paramètres régionaux.

Empêcher l’application Citrix Workspace pour Windows de mettre les mots de passe et les noms d’utilisateur en cache

Par défaut, l’application Citrix Workspace pour Windows stocke les mots de passe des utilisateurs lorsqu’ils se connectent à des magasins StoreFront. Pour empêcher Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows, mais pas Citrix Receiver pour Windows Enterprise, de mettre en cache les mots de passe des utilisateurs, modifiez les fichiers du service d’authentification.

  1. Utilisez un éditeur de texte pour ouvrir le fichier inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrm.

  2. Recherchez la ligne suivante dans le fichier.

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
    
  3. Commentez l’instruction comme indiqué ci-dessous.

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
    

    Les utilisateurs doivent entrer leur mot de passe chaque fois qu’ils se connectent à des magasins utilisant ce service d’authentification. Ce paramètre ne s’applique pas à Citrix Receiver pour Windows Enterprise.

Avertissement :

Une utilisation incorrecte de l’Éditeur du Registre peut occasionner de sérieux problèmes qui pourraient nécessiter l’installation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.

Par défaut, Citrix Receiver pour Windows renseignait automatiquement le dernier nom d’utilisateur entré. Pour empêcher le champ du nom d’utilisateur d’être renseigné, modifiez le registre sur la machine utilisateur :

  1. Créez une valeur HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Définissez sa valeur sur « false ».