Product Documentation

XenApp 6.5でのKerberos制約付き委任の構成

Dec 15, 2016

[ストア設定の構成]>[Kerberos委任]タスクを使って、StoreFrontでDelivery Controllerの認証に単一ドメインKerberos制約付き委任を使用するかどうかを指定します。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。  
  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインでストアを選択します。 [操作]ペインで、[ストア設定の構成]をクリックし、[Kerberos委任]をクリックします。
  3. [Delivery Controllerでの認証にKerberos委任]を有効または無効にして、Kerberos制約付き委任を有効または無効にします。

委任用のStoreFrontサーバーの構成

StoreFrontがXenAppと同じマシンにインストールされていない場合は、次の手順に従います。

  1. ドメインコントローラーで、MMCの[Active Directoryユーザーとコンピューター]スナップインを開きます。
  2. [表示]メニューで[詳細]を選択します。
  3. コンソールツリーで、ドメイン名の下の[Computers]から、StoreFrontサーバーを選択します。
  4. [操作]ペインの[プロパティ]を選択します。
  5. [委任]タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する][任意の認証プロトコルを使う]の順にクリックし、[追加]をクリックします。
  6. [サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター]をクリックします。
  7. [ユーザーまたはコンピューターの選択]ダイアログボックスの[選択するオブジェクト名を入力してください]ボックスに、Citrix XML Service(XenApp)サーバーの名前を入力し、[OK]をクリックします。
  8. 一覧からHTTPサービスタイプを選択し、[OK]をクリックします。
  9. 変更を適用し、ダイアログボックスを閉じます。

委任用のXenAppサーバーの構成

各XenAppサーバーでのActive Directoryの信頼済み委任を構成します。

  1. ドメインコントローラーで、MMCの[Active Directoryユーザーとコンピューター]スナップインを開きます。
  2. コンソールツリーで、ドメイン名の下の[Computers]から、StoreFrontが接続するCitrix XML Service(XenApp)のサーバーを選択します。
  3. [操作]ペインの[プロパティ]を選択します。
  4. [委任]タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する][任意の認証プロトコルを使う]の順にクリックし、[追加]をクリックします。
  5. [サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター]をクリックします。
  6. [ユーザーまたはコンピューターの選択]ダイアログボックスの[選択するオブジェクト名を入力してください]ボックスに、Citrix XML Service(XenApp)サーバーの名前を入力し、[OK]をクリックします。
  7. 一覧からHOSTサービスタイプを選択して、[OK][追加]の順にクリックします。
  8. [ユーザーまたはコンピューターの選択]ダイアログボックスの[選択するオブジェクト名を入力してください]ボックスにDomain Controllerの名前を入力し、[OK]をクリックします。
  9. 一覧からcifsおよびldapサービスタイプを選択し、[OK]をクリックします。 注:ldapサービスが2つある場合は、使用するドメインコントローラーの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)に一致する方を選択してください。
  10. 変更を適用し、ダイアログボックスを閉じます。

重要な注意事項

Kerberos制約付き委任を使用するかどうかを判断するときは、以下の点に注意してください。

  • 主な注意事項:
    • Kerberos制約付き委任を使用しない状態でパススルー認証(スマートカードPINのパススルー認証)を行わない限り、ssonsvr.exeは必要ありません。
  • StoreFrontとCitrix Receiver for Webのドメインパススルー:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • Internet Explorerの[信頼済みサイト]一覧にStoreFrontのFQDNを追加します。 Internet Explorerの信頼済みゾーンのセキュリティ設定の[Use local username]チェックボックスをオンにします。
    • クライアントはドメイン内に配置する必要があります。
    • StoreFrontサーバーで[ドメインパススルー]認証方法を有効にし、Citrix Receiver for Webでも有効にします。
  • StoreFront、Citrix Receiver for Web、およびPINプロンプトによるスマートカード認証:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • スマートカード認証は構成済みです。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • StoreFrontサーバーで[スマートカード]認証方法を有効にし、Citrix Receiver for Webでも有効にします。
    • スマートカード認証が選択されるようにするには、Internet ExplorerのStoreFrontサイトゾーンのセキュリティ設定で[Use local username]チェックボックスをオフにします。
    • クライアントはドメイン内に配置する必要があります。
  • NetScaler Gateway、StoreFront、Citrix Receiver for Web、およびPINプロンプトによるスマートカード認証:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • スマートカード認証は構成済みです。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • StoreFrontサーバーで[NetScaler Gatewayからのパススルー]認証方法を有効にし、Citrix Receiver for Webでも有効にします。
    • スマートカード認証が選択されるようにするには、Internet ExplorerのStoreFrontサイトゾーンのセキュリティ設定で[Use local username]チェックボックスをオフにします。
    • クライアントはドメイン内に配置する必要があります。
    • NetScaler Gatewayのスマートカード認証を構成し、追加の仮想サーバーを構成します。この認証不要なNetScaler Gateway仮想サーバー経由でICAトラフィックがStoreFront HDXでルーティングされるように構成します。
  • Citrix Receiver for Windows(AuthManager)、PINプロンプトによるスマートカード認証、およびStoreFront:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • クライアントはドメイン内に配置する必要があります。
    • StoreFrontサーバーで[スマートカード]認証方法を有効にします。
  • Citrix Receiver for Windows(AuthManager)、KerberosおよびStoreFront:
    • クライアントでは、ssonsvr.exeは必要ありません。
    • Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を制御する任意のものに対して設定できます。
    • icaclient.admテンプレートの[Kerberos]設定が必要です。
    • Internet Explorerの信頼済みゾーンのセキュリティ設定の[Use local username]チェックボックスをオンにします。
    • クライアントはドメイン内に配置する必要があります。
    • StoreFrontサーバーで[ドメインパススルー]認証方法を有効にします。
    • 次のレジストリキーが設定されていることを確認します。

注意:レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。 レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。 レジストリエディターは、お客様の責任と判断の範囲でご使用ください。 また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

32ビットマシンの場合:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows
値の名前:SSONCheckEnabled
種類:REG_SZ
値:trueまたはfalse

64ビットマシンの場合:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows

値の名前:SSONCheckEnabled
種類:REG_SZ
値:trueまたはfalse