配置

配置环境

Citrix Receiver for iOS 支持您的 XenApp 部署的 Web Interface 配置。有两种类型的 Web Interface 站点:XenApp Services(以前称为 Program Neighborhood Services)站点和 XenApp 和 XenDesktop 站点。Web Interface 站点使客户端设备能够连接到服务器场。可以使用各种解决方案处理 Citrix Receiver 与 Web Interface 站点之间的身份验证问题,其中包括 Citrix Access Gateway 和 Citrix Secure Gateway。

此外,可以对 StoreFront 进行配置,使其为 Citrix Receiver 提供身份验证和资源交付服务,使您能够创建集中的企业应用商店,用于向用户交付桌面、应用程序及其他资源。

有关配置连接的详细信息,包括视频、博客和支持论坛,请参阅 http://community.citrix.com

在用户访问 XenApp 或 XenDesktop 部署中托管的应用程序之前,请在部署中按如下所述配置以下组件。

  • 在场或站点中发布应用程序时,可以使用以下选项提升用户通过 StoreFront 应用商店访问这些应用程序时的体验:

    • 请务必为已发布的应用程序添加有意义的说明,因为用户可以在 Citrix Receiver 中看到这些说明。
    • 可以通过在 Citrix Receiver 的“精选”列表中列出应用程序,向移动设备用户重点推荐已发布的应用程序。要填充 Citrix Receiver 的“精选”列表,请编辑在服务器上发布的应用程序的属性,并将字符串 KEYWORDS:Featured 附加到应用程序说明字段的值后面。
    • 要启用能够对应用程序进行调整使其适应移动设备的屏幕大小的屏幕适应模式,请编辑在服务器上发布的应用程序属性,并将字符串 KEYWORDS:mobile 附加到应用程序说明字段的值后面。此关键字还将为应用程序激活自动滚动功能。
    • 要自动为某个应用商店的所有用户订阅某个应用程序,请将字符串 KEYWORDS:Auto 附加到您在 XenApp 中发布该应用程序时提供的说明后。用户登录该应用商店时,相应的应用程序将自动预配,而无需用户手动订阅。
  • 如果 XenApp 或 XenDesktop 部署中的 Web Interface 没有 Web 站点或 XenApp 和 XenDesktop 站点,请创建一个站点。站点的名称及创建方法取决于已安装的 Web Interface 的版本。

配置 StoreFront

重要:

  • 使用 StoreFront 时,Citrix Receiver 支持自 Citrix Access Gateway Enterprise Edition 9.3 至 NetScaler Gateway 12 的所有版本。
  • Citrix Receiver for iOS 仅支持 Web Interface 上的 XenApp Services 站点。
  • Citrix Receiver for iOS 支持从 Receiver for Web 启动会话,前提是 Web 浏览器可用于 Receiver for Web。如果无法启动,请直接通过 Citrix Receiver for iOS 配置您的帐户。用户必须使用浏览器的“使用 Receiver 打开”功能手动打开 ICA 文件。有关此部署的限制,请参阅 StoreFront 文档。

使用 StoreFront 后,您创建的应用商店将由可向 Citrix Receiver 提供身份验证和资源交付基础结构的各项服务组成。应创建一些应用商店,这些应用商店将枚举 XenDesktop 站点和 XenApp 场中的桌面和应用程序,并将这些资源汇集在一起,以提供给用户。

  1. 安装并配置 StoreFront。有关详细信息,请参阅产品文档的“技术”>“StoreFront”部分中的 StoreFront。对于需要更大控制权限的管理员,Citrix 提供了一个模板,供您创建 Citrix Receiver for iOS 的下载站点。
  2. 为 StoreFront 配置应用商店,具体步骤与为其他 XenApp 和 XenDesktop 应用程序配置应用商店相同。不需要对移动设备进行特殊配置。有关详细信息,请参阅产品文档的“StoreFront”部分中的用户访问选项。对于移动设备,请使用以下方法之一:
    • 预配文件。可以向用户提供包含应用商店连接详细信息的预配文件 (.cr)。安装完成后,用户将打开设备上的预配文件,以自动配置 Citrix Receiver。默认情况下,Receiver for Web 站点为用户提供的预配文件仅适用于站点所对应的单个应用商店。或者,也可以使用 Citrix StoreFront 管理控制台为可手动分发给用户的单个或多个应用商店生成预配文件。
    • 手动配置。可以直接将访问桌面和应用程序所需要的 Access Gateway 或应用商店 URL 通知给用户。如果通过 Access Gateway 进行连接,用户还需要知道产品版本以及所需的身份验证方法。安装后,用户将这些详细信息键入 Citrix Receiver 中,该插件将尝试验证连接,如果验证成功,将提示用户登录。
    • 自动配置。在“欢迎”屏幕上轻按添加帐户,然后在地址字段中键入 StoreFront 服务器的 URL。帐户的配置将在添加帐户过程中自动执行。

配置 Access Gateway 和 NetScaler Gateway

如果有用户从内部网络外部进行连接(例如,用户从 Internet 或远程位置进行连接),请通过 Access Gateway 或 NetScaler Gateway 配置身份验证。

  • 使用 StoreFront 时,Citrix Receiver 支持自 Citrix Access Gateway Enterprise Edition 9.3 至 NetScaler Gateway 12 的所有版本。
  • 有关详细信息,请参阅产品文档中您所用版本的 Access GatewayNetScaler Gateway

配置 Citrix Receiver 以访问应用程序

  1. 创建帐户时,如果要将 Citrix Receiver 配置为自动访问应用程序,请在“地址”字段中键入应用商店的匹配 URL,例如 storefront.organization.com。
  2. 使用智能卡进行身份验证时,请选择“使用智能卡”选项。
  3. 对于手动配置(可通过轻按“选项”>“手动设置”进行访问),请继续进行操作,完成其余字段,并选择 Access Gateway(或 NetScaler Gateway)身份验证方法,例如,启用安全令牌、选择身份验证类型并保存相关设置。

注意:

登录到应用商店的有效期为一小时。一小时后,用户必须重新登录,以刷新或启动其他应用程序。

配置客户端证书身份验证

重要:

  • 使用 StoreFront 时,Receiver 支持自 Citrix Access Gateway Enterprise Edition 9.3 至 NetScaler Gateway 11 的所有版本。
  • 自 Receiver for iOS 5.5 起的所有版本都支持客户端证书身份验证。
  • 只有 Access Gateway Enterprise Edition 9.x 和 10.x(以及后续版本)支持客户端证书身份验证。
  • 双来源身份验证类型必须为证书身份验证和 LDAP 身份验证。
  • Citrix Receiver 还支持可选的客户端证书身份验证。
  • 仅支持 P12 格式的证书。

此外,还可以根据向 Access Gateway(或 NetScaler Gateway)虚拟服务器呈现的客户端证书属性对登录到该服务器的用户进行身份验证。也可以将客户端证书身份验证与另一种身份验证类型 LDAP 结合使用,以提供双来源身份验证。

要基于客户端证书属性对用户进行身份验证,应在虚拟服务器上启用客户端身份验证,并申请客户端证书。必须在 Access Gateway 上将根证书与虚拟服务器绑定在一起。

用户登录到 Access Gateway 虚拟服务器并通过身份验证后,将从证书的指定字段中提取用户名和域信息。此信息必须在证书的 SubjectAltName:OtherName:MicrosoftUniversalPrincipalName 字段中。采用的格式为 username@domain。如果成功提取了用户名和域,并且用户提供了必需的其他信息(例如,密码),则用户已通过身份验证。如果用户未提供有效的证书和凭据,或者如果用户名/域提取失败,身份验证将失败。

可以通过将默认身份验证类型设置为使用客户端证书,基于客户端证书对用户进行身份验证。还可以基于客户端 SSL 证书创建一个证书操作,用于定义身份验证过程中要执行的操作。

配置 XenApp Services 站点

如果您尚未在 XenApp 控制台或 Web Interface 控制台(取决于您安装的 XenApp 版本)中创建 XenApp Services 站点,请为移动设备创建 XenApp Services 站点。

适用于移动设备的 Citrix Receiver 使用 XenApp Services 站点(以前称为 Program Neighborhood 代理站点)获取与用户有权访问的应用程序有关的信息,并将这些信息提供给在设备上运行的 Receiver。这与使用 Web Interface 建立传统的基于 SSL 的 XenApp 连接的方式相似,对于这种连接,可以配置 Access Gateway。

为适用于移动设备的 Receiver 配置 XenApp Services 站点,以支持通过 Access Gateway 进行连接。

  1. 在 XenApp Services 站点中,选择 Manage secure client access(管理安全客户端访问)> Edit secure client access settings(编辑安全客户端访问设置)。
  2. 将访问方法改为 Gateway Direct(网关直接)。
  3. 输入 Access Gateway 设备的 FQDN。
  4. 输入 Secure Ticket Authority (STA) 信息。

配置 Access Gateway 设备

对于客户端证书身份验证,请使用证书和 LDAP 这两种身份验证策略通过双重身份验证方法配置 Access Gateway。有关详细信息,请参阅产品文档中所用的版本 Access Gateway Enterprise Edition(仅限 9.x)或 Access Gateway 10,并搜索主题“配置客户端证书身份验证”。

  1. 在 Access Gateway 上创建会话策略,允许从 Receiver 传入 XenApp 连接,并指定新创建的 XenApp Services 站点的位置。
    • 创建一个会话策略来标识该连接来自适用于移动设备的 Receiver。创建会话策略时,配置以下表达式作为表达式运算符并选择 Match All Expressions(匹配所有表达式):

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver

    • 在会话策略关联的配置文件配置中,在 Security(安全)选项卡上,将 Default Authorization(默认授权)设置为 Allow(允许)。

      在“Published Applications”(已发布的应用程序)选项卡上,如果不是全局设置(选中了“Override Global”(覆盖全局)复选框),请确保将“ICA Proxy”(ICA 代理)字段设置为“ON”(开)。

      在“Web Interface Address”(Web Interface 地址)字段中,键入 URL(其中包含设备用户所使用的 XenApp Services 站点的 config.xml),例如 //XenAppServerName/Citrix/PNAgent/config.xml 或 /XenAppServerName/CustomPath/config.xml。

    • 将会话策略绑定到虚拟服务器。

    • 为证书身份验证和 LDAP 身份验证创建身份验证策略

    • 将身份验证策略绑定到虚拟服务器。

    • 将虚拟服务器配置为在 TLS 握手期间请求获取客户端证书,方法为:在 Certificate(证书)选项卡上打开 SSL Parameters(SSL 参数),对于客户端身份验证,应将 Client Certificate(客户端证书)设置为 Mandatory(强制)。 重要:如果 Access Gateway 上使用的服务器证书为证书链(含中间证书)的一部分,则要确保 Access Gateway 上还正确安装了中间证书。有关安装证书的详细信息,请参阅 Access Gateway 文档。

为 Citrix Receiver 配置移动设备

如果在 Access Gateway 上启用了客户端证书身份验证,则将基于客户端证书的某些属性对用户进行身份验证。成功完成身份验证后,将从证书中提取用户名和域,并应用为该用户指定的所有策略。

  1. 从 Citrix Receiver 打开帐户,并在“服务器”字段中键入 Access Gateway 服务器的匹配 FQDN,例如 GatewayClientCertificateServer.organization.com。Receiver 将自动检测是否需要客户端证书。
  2. 用户可以安装一个新证书,也可以从已安装的证书列表中选择一个证书。对于 iOS 客户端证书身份验证,必须只能由 Receiver 应用程序下载并安装证书。
  3. 选择有效的证书后,登录屏幕中的“用户名”和“域”字段已使用证书中的用户名信息预先填充,用户需要键入其余字段,包括密码。
  4. 如果将客户端证书身份验证设置为可选,用户可以通过在证书页面上按 Back(返回)跳过证书选项。在这种情况下,Receiver 将继续进行连接,向用户提供登录屏幕。
  5. 用户完成初始登录后,无需再次提供证书即可启动应用程序。Receiver 将存储帐户的证书,并自动使用这些证书执行将来的登录请求。

配置 Secure Gateway

配置 XenApp Services 站点

重要:

  • 使用 XenApp Services 站点的 Receiver for iOS 支持 Secure Gateway 3.x。
  • 使用 XenApp Web 站点的 Citrix Receiver for iOS 支持 Secure Gateway 3.x。
  • 在 XenApp Services 站点上仅支持单重身份验证方法,在 XenApp Web 站点上同时支持单重和双重身份验证方法。
  • 必须使用 Web Interface 5.4,该版本受所有内置浏览器支持。

在开始此配置之前,安装并配置与 Web Interface 一起运行的 Secure Gateway。您可以修改这些指令来适合您的具体环境。

如果使用 Secure Gateway 连接,则不要在 Receiver 上配置 Citrix Access Gateway 设置。

适用于移动设备的 Receiver 使用 XenApp Services 站点(以前称为 Program Neighborhood 代理站点)获取与用户有权访问的应用程序有关的信息,并将这些信息提供给在设备上运行的 Receiver。这与使用 Web Interface 建立传统的基于 SSL 的 XenApp 连接的方式相似,对于这种连接,可以配置 Access Gateway。在 Web Interface 5.x 上运行的 XenApp Services 站点内置了此配置功能。

将 XenApp Services 站点配置为支持通过 Secure Gateway 进行的连接:

  1. 在 XenApp Services 站点中,选择 Manage secure client access(管理安全客户端访问)> Edit secure client access settings(编辑安全客户端访问设置)。
  2. 将访问方法改为 Gateway Direct(网关直接)。
  3. 输入 Secure Gateway 的 FQDN。
  4. 输入 Secure Ticket Authority (STA) 信息。

注意:

对于 Secure Gateway,Citrix 建议为该站点使用 Citrix 默认路径 (//XenAppServerName/Citrix/PNAgent)。用户可以利用默认路径指定自己所连接的 Secure Gateway 的 FQDN,而不必指定到驻留在 XenApp Services 站点上的 config.xml 文件的完整路径(例如 //XenAppServerName/CustomPath/config.xml)。

配置 Secure Gateway

  1. 在 Secure Gateway 上,使用“Secure Gateway Configuration”(Secure Gateway 配置)向导将 Secure Gateway 配置为使用托管 XenApp Services 站点的安全网络中的服务器。选择 Indirect(间接)选项后,输入 Secure Gateway 服务器的 FQDN 路径,并继续执行向导步骤。
  2. 测试与用户设备之间的连接,以验证是否已根据网络连接和证书分配对 Secure Gateway 进行了正确配置。

为 Receiver 应用程序配置移动设备

  1. 添加 Secure Gateway 帐户时,请在地址字段中输入 Secure Gateway 服务器的匹配 FQDN:
    • 如果使用默认路径 (/Citrix/PNAgent) 创建了 XenApp Services 站点,请输入 Secure Gateway 的 FQDN:FQDNofSecureGateway.companyName.com
    • 如果自定义了 XenApp Services 站点路径,请输入 config.xml 文件的完整路径,例如:FQDNofSecureGateway.companyName.com/CustomPath/config.xml
  2. 如果要手动配置帐户,请关闭新建帐户对话框中的 Access Gateway 选项。

配置 Web Interface

配置 Web Interface 站点

使用 iPhone 和 iPad 设备的用户可以通过 Web Interface 站点和移动设备上内置的 Safari 浏览器启动应用程序。配置 Web Interface 站点,方法与配置其他 XenApp 应用程序相同。如果没有为移动设备配置 XenApp Services 站点,Citrix Receiver 会自动使用 Web Interface 站点。不需要对移动设备进行特殊配置。

内置 Safari 浏览器支持 Web Interface 5.x。

在 iOS 设备上启动应用程序

在移动设备上,用户可以使用其常规登录信息和密码登录 Web Interface 站点。

自动配置移动设备

在 StoreFront 中,请通过“导出多应用商店预配文件”和“导出预配文件”任务生成包含应用商店的连接详细信息的文件,包括为应用商店配置的任何 NetScaler Gateway 部署和信标。将这些文件提供给用户,以便用户能够利用应用商店的详细信息自动配置 Citrix Receiver。用户还可以从 Receiver for Web 站点获取 Citrix Receiver 预配文件。

重要:在多服务器部署中,请一次仅使用一台服务器以更改服务器组的配置。确保 Citrix StoreFront 管理控制台未在部署中的任何其他服务器上运行。完成后,请将对配置所做的更改传播到服务器组,以便更新部署中的其他服务器。

  1. 在 Windows“开始”屏幕或“应用程序”屏幕中,找到并单击 Citrix StoreFront 磁贴。在 Citrix StoreFront 管理控制台的左侧窗格中选择“应用商店”节点。
  2. 要生成包含多个应用商店的详细信息的预配文件,请在操作窗格中单击导出多应用商店预配文件,然后选择要包含在此文件中的应用商店。
  3. 单击导出并使用扩展名 .cr 将预配文件保存到网络中的合适位置。

手动配置帐户

一般来说,连接到 Access Gateway 时,Receiver 将在通过身份验证后尝试查找 XenApp Services 站点或 XenApp Web 站点。如果未检测到任何站点,Receiver 将显示一条错误。为避免出现此种情况,可以手动配置一个帐户,以便 Receiver 能够连接到 Access Gateway。

  1. 轻按右上角的帐户图标,然后在帐户屏幕中轻按加号 (+)。此时将显示“新建帐户”屏幕。
  2. 在屏幕的左下角,依次轻按选项左侧的图标和手动设置。屏幕上将显示其他字段。
  3. 在地址字段中,键入要连接到的站点或 Access Gateway 的安全 URL(例如,agee.mycompany.com)。
  4. 选择以下连接选项之一。屏幕上其余的字段将发生变化,具体取决于您所做的选择。
    • Web Interface - 选择此选项后,Receiver 可显示一个与 Web 浏览器类似的 XenApp Web 站点。此站点又称为 Web View。
    • XenApp Services - 选择此选项后,Receiver 可查找未配置“通过 Access Gateway 进行身份验证”的特定 XenApp Services 站点。在此屏幕上显示的其他选项中提供站点登录凭据。
      • <StoreFront FQDN>:如果存在多个应用商店,系统将显示一个列表,并且用户能够选择要添加的应用商店。
      • <StoreFront FQDN>/citrix/:这将添加 StoreFront 应用商店 。应用商店名称>应用商店名称>
      • <StoreFront FQDN>/citrix/PnAgent/config.xml:这将添加默认旧 PNAgent 应用商店。
      • <StoreFront FQDN>/citrix//PnAgent/config.xml:这将添加与 关联的旧 PNAgent 应用商店。应用商店名称>应用商店名称>
    • Access Gateway - 选择此选项后,Receiver 可通过特定的 Access Gateway 连接到 XenApp Services 站点。在此屏幕上显示的其他字段中,请选择服务器版本及其登录凭据,包括进行身份验证时是否需要使用安全令牌。
  5. 为确保证书安全,请使用忽略证书警告字段中的设置,以确定即使在具有无效证书、自签名证书或已过期证书的情况下,是否仍要连接到服务器。默认设置为关。 重要:如果启用了此选项,请确保您连接到正确的服务器。Citrix 强烈建议所有服务器都具有有效的证书,以保护用户设备免受联机安全攻击。安全服务器使用证书颁发机构颁发的 SSL 证书。Citrix 不支持自签名证书,也不建议绕过证书安全性验证。
  6. 轻按“保存”。
  7. 键入您的用户名和密码或令牌(如果您选择进行双重身份验证),然后轻按“登录”。此时将显示 Citrix Receiver 屏幕,在此屏幕中,您可以访问桌面以及添加和打开应用程序。