身份验证

智能卡

要在适用于 Linux 的 Citrix Workspace 应用程序中配置智能卡支持,必须通过 StoreFront 控制台配置 StoreFront 服务器以允许进行智能卡身份验证。从 StoreFront 控制台启用所需的协议。

注意:

配置了 Web Interface 的 Citrix Virtual Apps Services 站点(以前称为 Program Neighborhood Agent)不支持智能卡,StoreFront 服务器能够提供的“旧版 PNAgent”站点也不支持智能卡。

适用于 Linux 的 Citrix Workspace 应用程序支持与 PCSC-Lite 兼容的智能卡读卡器以及使用适用于恰当 Linux 平台的 PKCS#11 驱动程序的智能卡。默认情况下,适用于 Linux 的 Citrix Workspace 应用程序现在在其中一个标准位置查找 opensc-pkcs11.so。要确保适用于 Linux 的 Citrix Workspace 应用程序在非标准位置找到 opensc-pkcs11.so 或者找到另一个 PKCS#11 驱动程序,请通过以下步骤将该位置存储在配置文件中:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. 找到行 <key>PKCS11module</key>,将驱动程序位置添加到紧跟该行的 <value> 元素中。

    注意:

    如果您输入了驱动程序位置的文件名,Citrix Workspace 应用程序将导航到 $ICAROOT/PKCS#11 目录中的相应文件。或者,可以使用以“/”开头的绝对路径。

要在移除智能卡时配置适用于 Linux 的 Citrix Workspace 应用程序,请使用以下步骤更新配置文件中的 SmartCardRemovalAction︰

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. 找到行 <key>SmartCardRemovalAction</key>,将 noaction 或 forcelogoff 添加到紧跟该行的 <value> 元素中。

默认行为为“noaction”。删除智能卡时,不执行任何用于清除存储的凭据以及所生成的智能卡相关令牌的操作。forcelogof 操作将在删除智能卡时清除 StoreFront 中的所有凭据和令牌。

启用智能卡支持

适用于 Linux 的 Citrix Workspace 应用程序支持多种智能卡读卡器。如果同时为服务器和 Citrix Workspace 应用程序启用了智能卡支持,智能卡可以实现以下用途:

  • 智能卡登录身份验证。使用智能卡向 Citrix Virtual Apps 服务器验证用户身份。
  • 智能卡应用程序支持。允许支持智能卡的已发布应用程序访问本地智能卡设备。

智能卡数据对安全性非常敏感,应通过采用安全身份验证的通道(例如 TLS)进行传输。

要实现智能卡支持,必须具备以下条件:

  • 智能卡读卡器和已发布的应用程序必须符合 PC/SC 工业标准。
  • 安装适用于您的智能卡的驱动程序。
  • 安装 PC/SC Lite 软件包。
  • 安装并运行 pcscd 守护程序,该程序提供使用 PC/SC 访问智能卡的中间件。
  • 在 64 位系统中,64 位和 32 位版本的 libpscslite1 软件包必须存在。

重要:

如果要使用装有 SunRay 2.0 或更高版本服务器软件的 SunRay 终端,请安装 PC/SC SRCOM bypass 包,该软件包可从

http://www.sun.com/ 下载。

有关在服务器上配置智能卡支持的详细信息,请参阅 Citrix Virtual Apps and Desktops 文档。

V3 身份验证协议

“V3”身份验证指示适用于 Linux 的 Citrix Workspace 应用程序支持的登录 Citrix Gateway 的协议的第三个主要定义。

V3 是 Citrix Gateway 的标准登录协议,与使得身份验证步骤和关联的凭据收集表单完全可配置的“N 重”身份验证策略框架结合使用。本机 Citrix Workspace 应用程序可以通过在已针对 StoreFront 实现的表单登录支持的基础上构建来支持此协议。Citrix Gateway 的 Web 登录页面和流量管理器虚拟服务器还使用与适用于 Linux 的 Citrix Workspace 应用程序共享的代码来占用此协议。

有关详细信息,请参阅SAML 身份验证和知识中心文章 NetScaler 身份验证