Citrix Gateway

使用智能卡配置单点登录到 Web Interface

如果使用智能卡进行用户登录,则可以配置单点登录到 Web Interface。在 Citrix Gateway 上配置设置,然后将 Web Interface 配置为接受使用智能卡的单点登录。单点登录也称为直通身份验证。

Web Interface 5.3 和 5.4 版支持使用智能卡单点登录 Web Interface。如果启用 NetScaler 版本 10 中提供的 Citrix ADC 上的 Web Interface 功能,也可以使用智能卡的单点登录。有关配置此功能的更多信息,请参阅通过 Citrix Gateway 对 Web Interface 使用智能卡身份验证

只要证书操作中的用户名提取为“SubjectAltName:PrincipalName”,用户就可以在 Active Directory 中的多个 CN 组中进行单点登录工作。如果您使用参数主题:CN,则用户不能成为多个 CN 组的一部分。

要使用智能卡将 Citrix Gateway 配置为单点登录到 Web Interface,您需要执行以下操作:

  • 从证书颁发机构 (CA) 安装签名的服务器证书。有关详细信息,请参阅在 Citrix Gateway 上安装签名证书
  • 在 Citrix Gateway 和用户设备上安装根证书。
  • 创建虚拟服务器作为 Web Interface 的登录点。配置虚拟服务器时,必须将客户端证书 SSL 参数设置为可选。有关配置虚拟服务器的更多信息,请参阅创建虚拟服务器
  • 创建在 SSL 参数中禁用客户端身份验证的辅助虚拟服务器。此配置可防止用户收到个人标识号 (PIN) 的辅助请求。
  • 创建客户端证书身份验证策略。在“用户名”字段中,使用参数 SubjectAltName:PrincipalName 从多个组中提取用户。将组名称字段留空。
  • 在 Citrix Gateway 上创建会话策略和配置文件。在会话配置文件中,您可以启用 ICA 代理并指定用于单点登录的 Web Interface 和域。

您可以使用以下过程创建用于使用智能卡单点登录的会话配置文件。

使用智能卡为单点登录创建会话配置文件

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway 策 略,然后单击“会话”。
  2. 在详细信息窗格中,单击配置文件选项卡,然后单击添加。

3. 在“客户体验”选项卡上,在主页旁边,单击“覆盖全局”,然后清除“显示主页”。

  1. 在单点登录到 Web 应用程序旁边,单击覆盖全局,然后单击单点登录到 Web 应用程序。
  2. 单击 Published Applications(已发布的应用程序)选项卡。
  3. 在 ICA 代理旁边,单击覆盖全局,然后选择开。
  4. 在 Web Interface 地址中,单击覆盖全局,然后键入完全限定的域名 (FQDN) 或 Web Interface。
  5. 在单点登录域中,单击覆盖全局,然后键入域名。

    注意:您必须使用格式域,而不是格式域。

  6. 单击 Create(创建),然后单击 Close(关闭)。

完成会话配置文件后,请配置会话策略并将该配置文件用作策略的一部分。然后,您可以将会话策略绑定到虚拟服务器。

使用智能卡配置单点登录到 Web Interface