Citrix Endpoint Management

域或域加安全令牌身份验证

Citrix Endpoint Management 支持对符合轻量级目录访问协议 (LDAP) 的一个或多个目录进行基于域的身份验证。您可以在 Citrix Endpoint Management 中配置与一个或多个目录的连接。Citrix Endpoint Management 使用 LDAP 配置来导入组、用户帐户和相关属性。

重要:

用户在 Citrix Endpoint Management 中注册设备后,Citrix Endpoint Management 不支持将身份验证模式从一种类型的身份验证模式更改为另一种身份验证模式。例如,在用户注册后,您无法将身份验证模式从 域身份验证更改为域 + 证书

关于 LDAP

LDAP 是一个独立于供应商的开源应用程序协议,用于通过 Internet 协议 (IP) 网络访问和维护分布式目录信息服务。目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。

LDAP 的常见用处是为用户提供单点登录 (SSO),即每个用户在多项服务之间共享一个密码。通过单点登录,用户登录一次公司 Web 站点,可对公司 Intranet 进行经过身份验证访问。

客户端通过连接到 LDAP 服务器(称为目录系统代理程序 (Directory System Agent, DSA))启动 LDAP 会话。然后,客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。

在 Citrix Endpoint Management 中添加或编辑 LDAP 连接

您通常在登录 Citrix Endpoint Management 时配置 LDAP 连接,如配置 LDAP 中所述。如果您在该部分中显示的屏幕可用之前加载,请使用本部分中的信息添加 LDAP 连接。

  1. 在 Citrix Endpoint Management 控制台中,前往“设置”>“LDAP”**

  2. 服务器下方,单击 LDAP。此时将显示 LDAP 页面。

    LDAP 配置屏幕

  3. LDAP 页面上,单击 添加编辑。此时将显示 添加 LDAP或编辑 LDAP 页面。

    LDAP 配置屏幕

  4. 配置以下设置:

    • 目录类型: 在列表中,单击相应的目录类型。默认值为 Microsoft Active Directory
    • 主服务器: 键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN)。
    • 辅助服务器: (可选)如果配置了辅助服务器,请输入辅助服务器的 IP 地址或 FQDN。此服务器是故障转移服务器,在无法访问主服务器时使用。
    • 端口: 键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389。对安全的 LDAP 连接使用端口号 636,对 Microsoft 不安全 LDAP 连接使用 3268,或者对 Microsoft 安全 LDAP 连接使用 3269
    • 域名: 键入域名。
    • 用户基础 DN: 通过唯一标识符在 Active Directory 中键入用户的位置。语法示例包括:ou=usersdc=exampledc=com
    • 组基础 DN: 在 Active Directory 中键入组的位置。例如 cn=users, dc=domain, dc=net,其中 cn=users 表示组的容器名称,dc 表示 Active Directory 的域组件。
    • 用户 ID: 键入与 Active Directory 帐户关联的用户 ID。
    • 密码: 键入与用户关联的密码。
    • 域别名: 键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。
    • Citrix Endpoint Management 锁定限制:键入一个 **介于 0 到 999 之间的 数字来表示登录尝试失败的次数。值为0表示 Citrix Endpoint Management 永远不会因为登录尝试失败而锁定用户。默认值为0**。

      请注意将此锁定限制设置为低于 LDAP 锁定策略的值。在 Citrix Endpoint Management 无法向 LDAP 服务器进行身份验证时,这样做有助于防止用户被封锁。例如,如果 LDAP 锁定策略设置为 5 次尝试,请将此锁定限制配置为 4 或更低的值。

    • Citrix Endpoint Management 锁定时间:键入一个 **介于 0 到 99999 之间的 数字,表示用户在超过封锁限制后必须等待的分钟数。值为0表示不强制用户在锁定后等待。默认值为1**。
    • 全局目录 TCP 端口: 键入全局目录服务器的 TCP 端口号。默认情况下,TCP 端口号设置为 3268;对于 SSL 连接,使用端口号 3269
    • 全局目录根上下文: (可选)键入用于在 Active Directory 中启用全局目录搜索的全局根上下文值。此搜索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。
    • 用户搜索方式: 选择 Citrix Endpoint Management 用于在此目录中搜索用户的用户名或用户 ID 的格式。用户在注册时以此格式输入其用户名或用户 ID。如果在注册后通过设置更改用户搜索,用户必须重新注册。

      如果选择 userPrincipalName,则用户以下格式输入用户主体名称 (UPN):

      • 用户名@

      如果选择 sAMAccountName,则用户将输入以下格式之一的安全帐户管理员 (SAM) 名称:

      • 用户名@
      • 域\用户名
    • 使用安全连接: 选择是否使用安全连接。默认值为
  5. 单击保存

删除 LDAP 兼容目录

  1. LDAP 表中,选择要删除的目录。

    可以通过选中每个属性旁边的复选框,选择多个要删除的属性。

  2. 单击删除。此时将显示确认对话框。再次单击删除

配置域加安全令牌身份验证

您可以将 Citrix Endpoint Management 配置为要求用户使用其 LDAP 凭据和一次性密码使用 RADIUS 协议进行身份验证。

要实现最佳可用性,可以将此配置与 Citrix PIN 和 Active Directory 密码缓存组合在一起。采用该配置时,用户不需要重复输入其 LDAP 用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。

配置 LDAP 设置

使用 LDAP 进行身份验证需要在 Citrix Endpoint Management 上安装证书颁发机构颁发的 SSL 证书。有关信息,请参阅 上载证书

  1. 设置中,单击 LDAP

  2. 选择 Microsoft Active Directory,然后单击编辑

    LDAP 配置屏幕

  3. 确认“端口”为 636(用于安全 LDAP 连接)还是 3269(用于 Microsoft 安全 LDAP 连接)。

  4. 使用安全连接更改为

    LDAP 配置屏幕

配置 NetScaler Gateway 设置

以下步骤假设您已经向 Citrix Endpoint Management 添加了 NetScaler Gateway 实例。要添加 NetScaler Gateway 实例,请参阅 NetScaler Gateway 和 Citrix Endpoint Management

  1. 设置中,单击 NetScaler Gateway

  2. 选择 NetScaler Gateway,然后单击“编辑”。

  3. 登录类型中,选择域和安全令牌

启用 Citrix PIN 和用户密码缓存

要启用 Citrix PIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 Citrix PIN 身份验证启用用户密码缓存。有关详细信息,请参阅客户端属性

配置 NetScaler Gateway 以进行域和安全令牌身份验证

为与 Citrix Endpoint Management 一起使用的虚拟服务器配置 NetScaler Gateway 会话配置文件和策略。有关信息,请参阅 NetScaler Gateway 文档。

域或域加安全令牌身份验证