增强型域直通单点登录
增强型域直通单点登录使用 Kerberos,在使用已加入 Active Directory (AD) 的客户端设备和 Citrix StoreFront 时,可实现 Citrix Workspace app 以及虚拟应用和桌面会话的单点登录。
注意:
32 位操作系统不支持此功能。
此功能取代了基于 Citrix 单点登录服务 (ssonsvr.exe) 的旧版直通身份验证功能。
如果您使用的是以下版本的 Citrix Workspace app 和 VDA,则 Windows 11 不支持此功能:
VDA:2308、2311、2402
- Citrix Workspace app:2309、2309.1、2311、2402
系统要求
- 控制平面
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 或更高版本
- Virtual Delivery Agent
- Windows:版本 2308 或更高版本
>**注意:**
>
> 如果您使用的是 Virtual Delivery Agent 2308 到 2402 版本,则 Windows 11 不支持此功能。版本 2407 或更高版本支持 Windows 11 上的此功能。
- Citrix Workspace™ app
- 适用于 Windows 的 Citrix Workspace app 2309 或更高版本
- >**注意:**
- >
- > 如果您使用的是 Citrix Workspace app 2309 到 2402 版本,则 Windows 11 不支持此功能。版本 2405.10 或更高版本支持 Windows 11 上的此功能。
- 客户端设备
- 已加入 Active Directory 域
- Windows 10 64 位
- Windows 11 64 位
- 多会话主机:
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise 多会话 22H2
- Windows 11 Enterprise 多会话 22H2 或更高版本
- 单会话主机:
- Windows 10 版本 22H2
- Windows 11 版本 22H2 或更高版本
注意:
- 客户端设备必须与域控制器直接连接。如果设备在网络外部,则不支持单点登录。
StoreFront™ 配置
您必须为应用商店及其相应的网站启用域直通身份验证。
执行以下步骤为应用商店启用域直通:
- 打开 StoreFront 管理控制台。
-
转至“应用商店”>“管理身份验证方法”。此时将显示“管理身份验证方法 - Web”窗口。
-
选中“域直通”复选框。
- 单击“确定”。
执行以下步骤为网站启用域直通:
- 打开 StoreFront 管理控制台。
- 打开“应用商店”>“适用于网站的 Receiver”选项卡 >“管理适用于 Web 的 Receiver 站点”>“配置”>“身份验证方法”。此时将显示“编辑适用于 Web 的 Receiver 站点 - /Citrix/Web”窗口。
-
选中“域直通”复选框。
- 单击“确定”。
Citrix 策略配置
您必须使用 Citrix 策略启用此设置:
-
- 导航到 Citrix Studio 或 Web 控制台。
-
- 单击“策略”>“创建策略”。此时将显示“创建策略”对话框。
- 搜索“增强型域直通单点登录”策略。此时将显示“编辑设置”对话框。
-
选择“允许”选项以启用“增强型域直通单点登录”策略。
- 单击“确定”。
会话主机配置
使用 Citrix 策略启用“增强型域直通单点登录”功能后,您还必须在会话主机上启用 Windows 设置。您可以通过本地策略或 GPO 启用 Windows 设置:
- 导航到
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation。 -
启用“远程主机允许委派不可导出凭据”设置。
- 重新启动会话主机以使设置生效。
注意:
“远程主机允许委派不可导出凭据”设置在 Windows Server 2016 本地策略中不可用。如果您需要在会话主机上本地配置此设置而不是使用 GPO,则必须添加以下注册表值:
键:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- 值类型:DWORD
- 值名称:DisableRestrictedAdmin
- 值数据:0
客户端设备配置
您必须在客户端设备上执行以下操作:
- 启用增强型域直通单点登录
- 信任 StoreFront 站点
启用增强型域直通单点登录
您必须在客户端设备上启用“增强型域直通单点登录”功能。您可以通过本地策略或 GPO 执行此操作。
- 导航到
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication。 -
启用“增强型域直通单点登录”设置。
- 重新启动 Citrix Workspace app 以使设置生效。
信任 StoreFront 站点
您必须确保您的 StoreFront URL 受到客户端设备的信任。如果该 URL 不属于已受信任的域,则必须将其添加为本地 Intranet 站点或受信任站点。您可以通过本地策略或 GPO 执行此操作。
- 导航到
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security页面。 -
启用“站点到区域分配列表”设置,并添加相应的 URL 和区域分配。
-
启用“登录选项”设置,并将其设置为使用当前用户名和密码进行“自动登录”。
