Kerberosを使用したドメインパススルー認証の構成

このトピックの内容は、Citrix Receiver for WindowsとStoreFront、XenDesktop、またはXenApp間の接続にのみ適用されます。

Citrix Receiver for Windowsでは、スマートカードを使用する展開環境でのKerberosによるドメインパススルー認証がサポートされます。Kerberosとは、統合Windows認証(IWA)に含まれる認証方法の1つです。

Kerberos認証を有効にすると、認証時にCitrix Receiver for Windowsのパスワードが使用されません。このため、トロイの木馬型の攻撃でユーザーデバイス上のパスワードが漏えいすることを避けることができます。ユーザーは、指紋照合などの生体認証も含めて、さまざまな認証方式を使用してユーザーデバイスにログオンでき、公開リソースへ接続するときに資格情報を再入力する必要もありません。

Citrix Receiver for Windows、StoreFront、XenDesktop、およびXenAppでスマートカード認証が構成されており、ユーザーがスマートカードを使用する場合、Citrix Receiver for WindowsではKerberosによるパススルー認証が以下のように処理されます。

  1. Citrix Receiver for WindowsのシングルサインオンサービスがスマートカードのPINを取得します。
  2. Citrix Receiver for Windowsは、IWA(Kerberos)を使用してStoreFrontへのユーザー認証を行います。すると、使用可能な仮想デスクトップおよびアプリケーションの情報をStoreFrontがCitrix Receiver for Windowsに提供します。 注:この段階ではKerberos認証を使用する必要はありません。Citrix Receiver for WindowsでのKerberosの有効化は、PINの再入力が求められないようにする場合のみ必要です。Citrix Receiver for WindowsでKerberos認証を使用しない場合、StoreFrontへの認証にはスマートカード資格情報が使用されます。
  3. HDXエンジン(従来「ICAクライアント」と呼ばれていたもの)がスマートカードのPINをXenDesktopまたはXenAppに渡します。これにより、ユーザーがWindowsセッションにログオンできます。最後に、XenDesktopまたはXenAppが、要求されたリソースを配信します。

Citrix Receiver for WindowsでKerberos認証を使用する場合は、以下のように構成する必要があります。

  • Kerberosを使用するには、サーバーとCitrix Receiver for Windowsを、同じまたは信頼されているWindows Serverドメイン内に設置する必要があります。さらに、管理タスクを割り当てられるように、[Active Directoryユーザーとコンピューター]を使ってサーバーの信頼関係を構成する必要があります。
  • ドメイン、およびXenDesktopやXenAppでKerberosが有効になっている必要があります。セキュリティを強化するには、Kerberos以外のIWAオプションを無効にして、ドメインで必ずKerberosが使用されるようにします。
  • リモートデスクトップサービス接続で、基本認証や保存されたログオン情報を使用したり、常にユーザーにパスワードを入力させたりする場合、Kerberosによるログオンは使用できません。

このトピックの以降のセクションでは、一般的な環境でのドメインパススルー認証の構成方法について説明します。カスタムの認証ソリューションを使用していたWeb Interface環境をStoreFrontに移行する場合の注意事項については、Citrixのテクニカルサポート担当者に問い合わせてください。

警告

このトピックの一部の構成手順では、レジストリの編集が必要です。レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsのインストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

スマートカードを使用する環境でKerberosによるドメインパススルー認証を構成するには

XenDesktop環境でのスマートカード展開について精通していない場合は、XenDesktopドキュメントの「展開環境の保護」のスマートカードに関する内容を事前に理解しておくことをお勧めします。

Citrix Receiver for Windowsのインストール時に、以下のコマンドラインオプションを指定します。

  • /includeSSON

    これにより、ドメインに参加しているコンピューターにシングルサインオンコンポーネントがインストールされ、Citrix Receiver for WindowsのIWA(Kerberos)によるStoreFrontへの認証が有効になります。シングルサインオンコンポーネントは、スマートカードのPINを格納します。次に、HDXエンジンがこのPINを使用して、XenDesktopがスマートカードハードウェアと資格情報にアクセスできるようにします。XenDesktopは、自動的にスマートカードから証明書を選択して、HDXエンジンからPINを取得します。

    関連するオプションのENABLE_SSONはデフォルトで有効になっています。これを無効にしないでください。

    何らかのセキュリティポリシーによりデバイス上でシングルサインオンを有効にすることが禁止されている環境では、以下のポリシーを使用してCitrix Receiver for Windowsを構成します。

    [管理用テンプレート]>[従来の管理用テンプレート(ADM)]>[Citrixコンポーネント]>[Citrix Receiver]>[ユーザー認証]>[ローカルユーザー名とパスワード]

    メモ

    このシナリオでは、HDXエンジンでKerberosではなくスマートカード認証を使用しています。このため、HDXエンジンで常にKerberosを使用するためのオプションENABLE_KERBEROS=Yesは使用しないでください。

設定を適用するには、ユーザーデバイス上のCitrix Receiver for Windowsを再起動します。

StoreFrontを構成するには:

  • StoreFrontサーバー上のdefault.icaファイルで、DisableCtrlAltDelをfalseに設定します。

メモ

すべてのクライアントマシンでCitrix Receiver for Windows 4.2以降を実行している場合には、この手順は必要がありません。

  • StoreFrontサーバーの認証サービスを構成するときに、[ドメインパススルー]チェックボックスをオンにします。これにより、統合Windows認証が有効になります。[スマートカード]チェックボックスは、スマートカードを使用してStoreFrontに接続する非ドメイン参加のクライアントをサポートする場合のみオンにします。

StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。

FastConnect APIおよびHTTP基本認証について

FastConnect APIはHTTP基本認証方式を採用しています。これは、ドメインパススルー、Kerberos、およびIWAに割り当てられている認証方式と頻繁に混同されます。Citrixは、StoreFront上やICAグループポリシーではIWAを無効にすることをお勧めします。