構成ファイルを使ったStoreFrontの構成
ここでは、Citrix StoreFront管理コンソールを使用して実行できない付加的な構成タスクについて説明します。
重要:
複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。変更が完了したら、 構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
ICAファイル署名の有効化
StoreFrontには、ICAファイルにデジタル署名を追加するオプションが用意されています。これにより、この機能をサポートするバージョンのCitrix Workspaceアプリで、ICAファイルが信頼されるサーバーからのものであることを検証できるようになります。StoreFrontでファイルの署名を有効にすると、ユーザーがアプリケーションを起動するときに生成されるICAファイルが、StoreFrontサーバーの個人証明書ストアにある証明書を使用して署名されます。StoreFrontサーバーのオペレーティングシステムでサポートされる任意のハッシュアルゴリズムを使ってICAファイルを署名できます。クライアントソフトウェアがこの機能をサポートしない場合やICAファイルの署名用に構成されていない場合、デジタル署名は無視されます。署名処理に失敗した場合は、デジタル署名なしでICAファイルが生成され、Citrix Receiverに送信されます。未署名のファイルを受け入れるかどうかは、Receiver側での構成により決定されます。
StoreFrontのICAファイルの署名機能で使用する証明書には秘密キーが含まれ、許可された有効期間内である必要があります。証明書にキー使用法の拡張が含まれる場合、キーをデジタル署名に使用できるようにする必要があります。拡張キー使用法エクステンションが含まれる場合は、コード署名またはサーバー認証用に設定されている必要があります。
ICAファイルを署名する場合、商用の証明機関または組織内の独自の証明機関から取得したコード署名またはSSL署名証明書を使用することをお勧めします。証明機関から適切な証明書を取得できない場合は、サーバー証明書のような既存のSSL証明書を使用するか、新しいルート証明機関証明書を作成してユーザーデバイスに配布することができます。
ストアのICAファイルの署名機能はデフォルトでは無効になっています。ICAファイルの署名機能を有効にするには、ストアの構成ファイルを編集してからWindows PowerShellコマンドを実行します。Citrix Workspaceアプリ側でICAファイルの署名機能を有効にする方法について詳しくは、「ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにする」を参照してください。
注:
StoreFront管理コンソールとPowerShellコンソールを同時に開くことはできません。StoreFront管理コンソールを閉じてからPowerShellコンソールを開いてください。同様に、PowerShellのすべてのインスタンスを閉じてからStoreFront管理コンソールを開いてください。
-
ICAファイルの署名に使用する証明書が、現在のユーザーの証明書ストアではなく、StoreFrontサーバーのCitrix Delivery Services証明書ストアで使用できることを確認します。
-
テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\storename\ディレクトリにあります。ここで、storenameはストアの作成時に指定した名前です。
-
ファイル内で次のセクションを検索します。
<certificateManager> <certificates> <clear /> <add ... /> ... </certificates> </certificateManager> <!--NeedCopy--> -
署名に使用する証明書の詳細を含めます。
<certificateManager> <certificates> <clear /> <add id="certificateid" thumb="certificatethumbprint" /> <add ... /> ... </certificates> </certificateManager> <!--NeedCopy-->ここで、<certificateid>はストアの構成ファイル内で証明書を識別するための値で、<certificatethumbprint>はハッシュアルゴリズムにより生成される証明書データのダイジェスト(または拇印)です。
-
ファイル内で次の要素を検索します。
<icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" /> <!--NeedCopy--> -
有効な属性の値をTrueに変更して、ストアのICAファイルの署名を有効にします。さらに、certificateId属性の値を、証明書を識別するために使用したID、つまり手順4.の<certificateid>に設定します。
-
SHA-1以外のハッシュアルゴリズムを使用する場合は、必要に応じてhashAlgorithm属性の値をsha256、sha384、またはsha512に設定します。
-
ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロンプトで次のコマンドを実行します。これにより、ストアが秘密キーにアクセスできるようになります。
Add-PSSnapin Citrix.DeliveryServices.Framework.Commands $certificate = Get-DSCertificate "certificatethumbprint" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName "IIS APPPOOL\Citrix Delivery Services Resources" <!--NeedCopy-->ここで<certificatethumbprint>は、ハッシュアルゴリズムにより生成される証明書データのダイジェストです。
ファイルタイプの関連付けの無効化
ストアのファイルタイプの関連付けは、デフォルトで有効になっています。このため、ユーザーがユーザーデバイス上で開いたローカルファイルは、サブスクライブ済みのアプリケーションで表示されます。ファイルタイプの関連付けを無効にするには、ストアの構成ファイルを編集します。
-
テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\storename\ディレクトリにあります。ここで、storenameはストアの作成時に指定した名前です。
-
ファイル内で次の要素を検索します。
<farmset ... enableFileTypeAssociation="on" ... > <!--NeedCopy--> -
enableFileTypeAssociation属性の値をoffに変更して、ストアでのファイルタイプの関連付けを無効にします。
Citrix Workspaceアプリログオンダイアログボックスのカスタマイズ
デフォルトでは、ユーザーがストアにログオンしても、ログオンダイアログボックスにタイトル文字列は表示されません。このダイアログボックスをカスタマイズして、タイトルに「ログオンしてください」などのメッセージを表示することができます。ログオンダイアログボックスにタイトル文字列が表示されるようにし、表示内容をカスタマイズするには、認証サービスのファイルを編集します。
-
テキストエディターを使って認証サービス用のUsernamePassword.tfrmファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\ディレクトリにあります。
-
ファイル内で次の行を見つけます。
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
先頭の @* と末尾の *@ を削除して、このステートメントのコメントを解除します。
@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->これにより、Citrix Workspaceアプリユーザーがこのストアにログオンしたときに、デフォルトのタイトル文字列である「Please log on」または「ログオンしてください」などが表示されます。
-
タイトル文字列を変更するには、テキストエディターを使って認証サービスの ExplicitFormsCommon.xx.resx ファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\ディレクトリにあります。
-
ファイル内で次の要素を検索します。<value>要素内の文字列を編集します。これにより、このストアのログオンダイアログボックスのタイトルが変更されます。
<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->ほかのロケールにいるユーザー用にログオンダイアログボックスのタイトルの文字列を変更するには、 対象となる言語版の ExplicitAuth.languagecode.resx ファイルを編集します。ここでlanguagecodeは、ロケール識別子です。
Windows向けCitrix Workspaceアプリでのパスワードおよびユーザー名のキャッシュ機能の無効化
Windows向けCitrix Workspaceアプリのデフォルトでは、ユーザーがStoreFrontストアにログオンしたときのパスワードがキャッシュされます。Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリでパスワードのキャッシュ機能を無効にするには、認証サービスのファイルを編集します(この設定はCitrix Receiver for Windows Enterpriseには適用されません)。
-
テキストエディターを使って、inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrmファイルを開きます。
-
ファイル内で次の行を見つけます。
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
次のようにステートメントにコメントします。
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->これにより、この認証サービスのストアにログオンするユーザーは、毎回パスワードの入力が必要になります。この設定は、Citrix Receiver for Windows Enterpriseには適用されません。
警告:
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsのインストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
デフォルトで、Citrix Receiver for Windowsでは姓が自動的に抽出されて入力されます。[ユーザー名]フィールドの自動入力を無効にするには、ユーザーデバイスでレジストリを次のように編集します:
- REG_SZ値のHKLM\SOFTWARE\Citrix\AuthManager\RememberUsernameを作成します。
- 値を「false」に設定します。