使用 Kerberos 配置域直通身份验证

本主题仅适用于在适用于 Windows 的 Citrix Workspace 应用程序与 StoreFront、Citrix Virtual Apps and Desktops 之间建立的连接。

Citrix Workspace 应用程序支持为使用智能卡的部署采用 Kerberos 进行域直通身份验证。Kerberos 是集成 Windows 身份验证 (IWA) 中包含的一种身份验证方法。

启用 Kerberos 身份验证后,无需 Citrix Workspace 应用程序的密码即可进行身份验证,因而防止在用户设备上发生尝试获取密码访问权限的特洛伊木马攻击。用户可以使用任何身份验证方法登录并访问已发布的资源。例如,指纹读取器之类的生物特征身份验证器。

在使用智能卡登录配置了智能卡身份验证的 Citrix Workspace 应用程序、StoreFront、Citrix Virtual Apps and Desktops 时,Citrix Workspace 应用程序将:

  1. 在单点登录期间捕获智能卡 PIN
  2. 使用 IWA (Kerberos) 向 StoreFront 验证用户身份。然后,StoreFront 向您的 Workspace 应用程序提供有关可用 Citrix Virtual Apps and Desktops 的信息。

注意

应启用 Kerberos 以避免额外的 PIN 提示。如果未使用 Kerberos 身份验证,Citrix Workspace 应用程序将使用智能卡凭据向 StoreFront 进行身份验证。

  1. HDX Engine(之前称为 ICA 客户端)将智能卡 PIN 传递给 VDA,从而使用户登录到 Citrix Workspace 应用程序会话。Citrix Virtual Apps and Desktops 随后提供请求的资源。

要将 Kerberos 身份验证用于 Citrix Workspace 应用程序,请确保您的 Kerberos 配置符合以下条件。

  • Kerberos 只在 Citrix Workspace 应用程序与属于相同或可信 Windows Server 域的服务器之间起作用。服务器还必须启用信任委派,您可以通过“Active Directory 用户和计算机管理”工具配置该选项。
  • 必须在域和 Citrix Virtual Apps and Desktops 上启用 Kerberos。为了增强安全性并确保使用 Kerberos,请在域上禁用任何非 Kerberos IWA 选项。
  • Kerberos 登录不适用于配置为使用基本身份验证、始终使用指定的登录信息或始终提示输入密码的远程桌面服务连接。

警告

注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。

配置域直通身份验证以结合使用 Kerberos 和智能卡

在继续操作之前,请参阅 Citrix Virtual Apps and Desktops 文档的保护部署部分中的智能卡信息。

安装适用于 Windows 的 Citrix Workspace 应用程序时,请包含以下命令行选项:

  • /includeSSON

    此选项在加入域的计算机上安装 Single Sign-On 组件,从而使您的工作区能够使用 IWA (Kerberos) 向 StoreFront 进行身份验证。Single Sign-On 组件存储智能卡 PIN,HDX Engine 在将智能卡硬件和凭据远程传递到 Citrix Virtual Apps and Desktops 时会使用此 PIN。Citrix Virtual Apps and Desktops 自动从智能卡选择一个证书并从 HDX Engine 获得此 PIN。

    默认情况下启用一个相关选项 ENABLE\_SSON

如果安全策略阻止在设备上启用 Single Sign-On,请使用组策略对象管理模板配置 Citrix Workspace 应用程序。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
  2. 选择管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证 > 本地用户名和密码
  3. 选择启用直通身份验证
  4. 重新启动 Citrix Workspace 应用程序以使所做的更改生效。

    本地化后的图片

配置 StoreFront:

在 StoreFront 服务器上配置身份验证服务时,选择“域直通”选项。该设置将启用集成 Windows 身份验证。无需选择智能卡选项,除非您还具有未加入域的客户端使用智能卡连接到 StoreFront。

有关将智能卡用于 StoreFront 的详细信息,请参阅 StoreFront 文档中的配置身份验证服务

使用 Kerberos 配置域直通身份验证