Kerberosを使用したドメインパススルー認証の構成

このトピックの内容は、Windows向けCitrix WorkspaceアプリとStoreFront、Citrix Virtual Apps and Desktops間の接続にのみ適用されます。

Citrix Workspaceアプリでは、スマートカードを使用する展開環境でのKerberosによるドメインパススルー認証がサポートされます。Kerberosとは、統合Windows認証(IWA)に含まれる認証方法の1つです。

これを有効にすると、認証時にCitrix Workspaceアプリのパスワードが使用されません。このため、トロイの木馬型の攻撃でユーザーデバイス上のパスワードが漏えいすることを避けることができます。ユーザーは、任意の認証方法を使用してログオンし、公開リソースにアクセスできます。たとえば、指紋リーダーなどの生体認証システムなどです。

スマートカード認証が構成されたされたCitrix Workspaceアプリ、StoreFront、Citrix Virtual Apps and Desktopsでスマートカードを使用してログインすると、Citrix Workspaceアプリは以下を実行します。

  1. シングルサインオン中にスマートカードPINを取得します。
  2. IWA(Kerberos)を使用してStoreFrontへのユーザー認証を行います。すると、使用可能なCitrix Virtual Apps and Desktopsの情報をStoreFrontがWorkspaceアプリに提供します。

    メモ

    追加のPINプロンプトが表示されるのを回避するためにKerberosを有効にします。Citrix WorkspaceアプリでKerberos認証を使用しない場合、StoreFrontへの認証にはスマートカード資格情報が使用されます。

  3. HDXエンジン(従来「ICAクライアント」と呼ばれていたもの)がスマートカードのPINをVDAに渡します。これにより、ユーザーがCitrix Workspaceアプリセッションにログオンできます。Citrix Virtual Apps and Desktopsが、要求されたリソースを配信します。

Citrix WorkspaceアプリでKerberos認証を使用する場合は、以下のように構成する必要があります。

  • Kerberosを使用するには、サーバーとCitrix Workspaceアプリを、同じまたは信頼されているWindows Serverドメイン内に設置する必要があります。さらに、管理タスクを割り当てられるように、[Active Directoryユーザーとコンピューター]を使ってサーバーの信頼関係を構成する必要があります。
  • ドメイン、およびCitrix Virtual Apps and Desktopsの両方でKerberosが有効になっている必要があります。セキュリティを強化するには、Kerberos以外のIWAオプションを無効にして、ドメインで必ずKerberosが使用されるようにします。
  • リモートデスクトップサービス接続で、基本認証や保存されたログオン情報の使用、または常にユーザーにパスワードを入力させたりする場合、Kerberosによるログオンは使用できません。

警告

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsのインストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

スマートカードを使用する環境でKerberosによるドメインパススルー認証を構成する

Citrix Virtual Apps and Desktopsドキュメントの「展開環境の保護」セクションでスマートカード情報を参照してください。

Windows向けCitrix Workspaceアプリのインストール時に、以下のコマンドラインオプションを指定します。

  • /includeSSON

    これにより、ドメインに参加しているコンピューターにシングルサインオンコンポーネントがインストールされ、ワークスペースのIWA(Kerberos)によるStoreFrontへの認証が有効になります。シングルサインオンコンポーネントは、スマートカードのPINを格納します。次に、HDXエンジンがこのPINを使用して、Citrix Virtual Apps and Desktopsがスマートカードハードウェアと資格情報にアクセスできるようにします。Citrix Virtual Apps and Desktopsは、自動的にスマートカードから証明書を選択して、HDXエンジンからPINを取得します。

    関連オプション「ENABLE\_SSON」は、デフォルトで有効になっています。

セキュリティポリシーにより、デバイスでシングルサインオンを有効にできない場合は、グループポリシーオブジェクト管理用テンプレートを使用してCitrix Workspaceアプリを構成します。

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード]を選択します。
  3. [パススルー認証を有効にします] チェックボックスをオンにします。
  4. Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。

    ローカライズされた画像

StoreFrontを構成するには:

StoreFrontサーバーの認証サービスを構成するときに、[ドメインパススルー]オプションをオンにします。これにより、統合Windows認証が有効になります。[スマートカード]オプションは、スマートカードを使用してStoreFrontに接続する非ドメイン参加のクライアントをサポートする場合のみオンにします。

StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。

Kerberosを使用したドメインパススルー認証の構成