製品ドキュメント
StoreFront
Current Release 2203 LTSR 1912 LTSR 1909 1906 1903 3.12
PDFを表示

XenApp 6.5でのKerberos制約付き委任の構成

December 15, 2021
寄稿者: 
C

注:

XenApp 6.5は製品終了(End of Life:EOL)となり、現在は拡張サポートプログラムの対象となっています。

[ストア設定の構成] > [Kerberos委任] タスクを使って、StoreFrontでDelivery Controllerの認証に単一ドメインKerberos制約付き委任を使用するかどうかを指定します。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。

  1. Windowsの [スタート] 画面または [アプリ] 画面で、[Citrix StoreFront] タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作]ペインで、[ストア設定の構成] をクリックし、[Kerberos委任]をクリックします。
  3. [Delivery Controllerでの認証にKerberos委任]を有効または無効にして、Kerberos制約付き委任を有効または無効にします。

委任用のStoreFrontサーバーの構成

StoreFrontがCitrix Virtual Appsと同じマシンにインストールされていない場合は、次の手順に従います。

  1. ドメインコントローラーで、MMCの [Active Directoryユーザーとコンピューター] スナップインを開きます。
  2. [表示]メニューで[詳細]を選択します。
  3. コンソールツリーで、ドメイン名の下の[Computers]から、StoreFrontサーバーを選択します。
  4. [操作] ペインの [プロパティ] を選択します。
  5. [委任] タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する][任意の認証プロトコルを使う] の順にクリックし、[追加] をクリックします。
  6. [サービスの追加] ダイアログボックスで、[ユーザーまたはコンピューター] をクリックします。
  7. [ユーザーまたはコンピューターの選択] ダイアログボックスの [選択するオブジェクト名を入力してください] ボックスに、Citrix Virtual Apps and Desktops XML Serviceを実行するサーバーの名前を入力し、[OK] をクリックします。
  8. 一覧からHTTPサービスタイプを選択し、[OK] をクリックします。
  9. 変更を適用し、ダイアログボックスを閉じます。

委任用のCitrix Virtual Appsサーバーの構成する

各Citrix Virtual AppsサーバーでのActive Directoryの信頼済み委任を構成します。

  1. ドメインコントローラーで、MMCの [Active Directoryユーザーとコンピューター] スナップインを開きます。
  2. コンソールツリーで、ドメイン名の下の [Computers] から、StoreFrontが接続するCitrix Virtual Apps and Desktops XML Serviceのサーバーを選択します。
  3. [操作] ペインの [プロパティ] を選択します。
  4. [委任] タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する][任意の認証プロトコルを使う] の順にクリックし、[追加] をクリックします。
  5. [サービスの追加] ダイアログボックスで、[ユーザーまたはコンピューター] をクリックします。
  6. [ユーザーまたはコンピューターの選択] ダイアログボックスの [選択するオブジェクト名を入力してください] ボックスに、Citrix Virtual Apps and Desktops XML Serviceを実行するサーバーの名前を入力し、[OK] をクリックします。
  7. 一覧からHOSTサービスタイプを選択して、[OK][追加] の順にクリックします。
  8. [ユーザーまたはコンピューターの選択] ダイアログボックスの [選択するオブジェクト名を入力してください] ボックスにドメインコントローラーの名前を入力し、[OK] をクリックします。
  9. 一覧から cifs および ldap サービスタイプを選択し、[OK]をクリックします。注:ldapサービスが2つある場合は、使用するドメインコントローラーの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)に一致する方を選択してください。
  10. 変更を適用し、ダイアログボックスを閉じます。

重要な注意事項

Kerberos制約付き委任を使用するかどうかを判断するときは、以下の点に注意してください。

  • 主な注意事項:
    • Kerberos制約付き委任を使用しない状態でパススルー認証(スマートカードPINのパススルー認証)を行わない限り、ssonsvr.exeは必要ありません。
  • StoreFrontとCitrix Receiver for Webのドメインパススルー:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • Internet Explorerの[信頼済みサイト]一覧にStoreFrontのFQDNを追加します。Internet Explorerの信頼済みゾーンのセキュリティ設定の[Use local username]チェックボックスをオンにします。
    • クライアントはドメイン内に配置する必要があります。
    • StoreFrontサーバーで[ドメインパススルー]認証方法を有効にし、Citrix Receiver for Webでも有効にします。
  • StoreFront、Citrix Receiver for Web、およびPINプロンプトによるスマートカード認証:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • スマートカード認証は構成済みです。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • StoreFrontサーバーで[スマートカード]認証方法を有効にし、Citrix Receiver for Webでも有効にします。
    • スマートカード認証が選択されるようにするには、Internet ExplorerのStoreFrontサイトゾーンのセキュリティ設定で[Use local username]チェックボックスをオフにします。
    • クライアントはドメイン内に配置する必要があります。
  • Citrix Gateway、StoreFront、Citrix Receiver for Web、およびPINプロンプトによるスマートカード認証:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • スマートカード認証は構成済みです。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • StoreFrontサーバーで[Citrix Gatewayからのパススルー]認証方法を有効にし、Citrix Receiver for Webでも有効にします。
    • スマートカード認証が選択されるようにするには、Internet ExplorerのStoreFrontサイトゾーンのセキュリティ設定で[Use local username]チェックボックスをオフにします。
    • クライアントはドメイン内に配置する必要があります。
    • Citrix Gatewayのスマートカード認証を構成し、追加の仮想サーバーを構成します。この認証不要なCitrix Gateway仮想サーバー経由でICAトラフィックがStoreFront HDXでルーティングされるように構成します。
  • Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリ(AuthManager)、PINプロンプトによるスマートカード認証、およびStoreFront:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • クライアントはドメイン内に配置する必要があります。
    • StoreFrontサーバーで[スマートカード]認証方法を有効にします。
  • Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリ(AuthManager)、Kerberos、およびStoreFront:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • Internet Explorerの信頼済みゾーンのセキュリティ設定の[Use local username]チェックボックスをオンにします。
    • クライアントはドメイン内に配置する必要があります。
    • StoreFrontサーバーで[ドメインパススルー]認証方法を有効にします。

    • 次のレジストリキーが設定されていることを確認します。

      注意:

      レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

      32ビットマシンの場合:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows 名前:SSONCheckEnabled 種類:REG_SZ 値:true or false

      64ビットマシンの場合: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows 名前:SSONCheckEnabled 種類:REG_SZ 値:trueまたはfalse

XenApp 6.5でのKerberos制約付き委任の構成
December 15, 2021
寄稿者: 
C
December 15, 2021
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.