Product Documentation

使用 Kerberos 配置域直通身份验证

Nov 20, 2015

本主题仅适用于 Receiver 与 StoreFront、XenDesktop 或 XenApp 之间的连接。

Receiver for Windows 支持为使用智能卡的部署采用 Kerberos 进行域直通身份验证。Kerberos 是集成 Windows 身份验证 (IWA) 中包含的一种身份验证方法。

启用 Kerberos 身份验证后,无需 Receiver 的密码 Kerberos 即可进行身份验证,因而防止用户设备上发生特洛伊木马攻击来获取密码的访问权限。用户可以通过任何身份验证方法(例如,指纹读取器之类的生物特征验证器)登录用户设备,而且无需进一步的身份验证即可访问已发布的资源。

当 Receiver、StoreFront、XenDesktop 和 XenApp 配置为使用智能卡身份验证并且用户使用智能卡进行登录时,Receiver 按如下方式使用 Kerberos 处理直通身份验证:

  1. Receiver Single Sign-On Service 捕获智能卡 PIN。
  2. Receiver 使用 IWA (Kerberos) 向 StoreFront 验证用户身份。然后,StoreFront 向 Receiver 提供有关可用虚拟桌面和应用程序的信息。
    注意:对于此步骤,无须使用 Kerberos 身份验证。在 Receiver 上启用 Kerberos 只是为了避免额外的 PIN 提示。如果您不使用 Kerberos 身份验证,Receiver 将使用智能卡凭据向 StoreFront 进行身份验证。
  3. HDX Engine(之前称为 ICA 客户端)将智能卡 PIN 传递给 XenDesktop 或 XenApp,从而使用户登录到 Windows 会话。然后,XenDesktop 或 XenApp 交付请求的资源。

要将 Kerberos 身份验证用于 Receiver,请确保您的 Kerberos 配置符合以下条件。

  • Kerberos 登录只在 Receiver 与属于相同或可信 Windows 服务器域的服务器之间起作用。服务器还必须启用信任委派,您可以通过“Active Directory 用户和计算机管理”工具配置该选项。
  • 必须在域中以及 XenDesktop 和 XenApp 中启用 Kerberos。为增强安全性并确保使用 Kerberos,请在域上禁用任何非 Kerberos IWA 选项。
  • Kerberos 登录不适用于配置为使用基本身份验证、始终使用指定的登录信息或始终提示输入密码的远程桌面服务连接。

本主题中的剩余部分介绍适用于大多数常见场景的配置域直通身份验证方法。如果打算从 Web Interface 迁移到 StoreFront,并且之前使用的是自定义身份验证解决方案,请联系 Citrix 支持代表以了解详细信息。

警告:本主题中说明的部分配置涉及注册表编辑操作。“注册表编辑器”使用不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。请确保在编辑注册表之前进行备份。

配置域直通身份验证以结合使用 Kerberos 和智能卡

如果您不熟悉 XenDesktop 环境中的智能卡部署,建议您在继续操作之前,阅读 XenDesktop 文档中的确保部署安全性部分。

安装 Receiver 时,请包含以下命令行选项:

  • /includeSSON

    此选项在加入域的计算机上安装 Single Sign-On 组件,从而使 Receiver 能够使用 IWA (Kerberos) 向 StoreFront 进行身份验证。Single Sign-On 组件存储智能卡 PIN,然后,HDX Engine 在将智能卡硬件和凭据远程传递到 XenDesktop 时会使用此 PIN。XenDesktop 自动从智能卡选择一个证书并从 HDX Engine 获得此 PIN。

    默认情况下会启用相关选项 ENABLE_SSON,请保留启用此选项。

    如果安全策略阻止在设备上启用 Single Sign-On,请通过以下策略配置 Receiver:

    管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 用户身份验证 > 本地用户名和密码

    注意:在此情况下,您希望允许 HDX Engine 使用智能卡身份验证而非 Kerberos,因此请勿使用选项 ENABLE_KERBEROS=Yes,此选项会强制 HDX Engine 使用 Kerberos。

要应用这些设置,请在用户设备上重新启动 Receiver。

配置 StoreFront:

  • 在 StoreFront 服务器上的 default.ica 文件中,将Set DisableCtrlAltDel设置为false
  • 在 StoreFront 服务器上配置身份验证服务时,选中域直通复选框。该设置将启用集成 Windows 身份验证。无需选中智能卡复选框,除非您还具有未加入域的客户端使用智能卡连接到 Storefront。

有关将智能卡用于 StoreFront 的详细信息,请参阅 StoreFront 文档中的配置身份验证服务