配置双重客户端证书身份验证

您可以将客户端证书配置为首先对用户进行身份验证,然后要求用户使用辅助身份验证类型(如 LDAP 或 RADIUS)登录。在这种情况下,客户端证书首先对用户进行身份验证。然后,将显示一个登录页面,用户可以在其中输入用户名和密码。安全套接字层 (SSL) 握手完成后,登录序列可以采用以下两种路径之一:

  • 用户名和组都不会从证书中提取。登录页面向用户显示,并提示输入有效的登录凭据。Citrix Gateway 对用户凭据进行正常密码身份验证的情况进行身份验证。
  • 从客户端证书中提取用户名和组名。如果仅提取用户名,则登录页面显示登录名所在的用户,并且用户无法修改该名称。只有密码字段为空。

Citrix 网关在第二轮身份验证期间提取的组信息会附加到 Citrix 网关从证书中提取的组信息(如果有)。

配置双重客户端证书身份验证