Product Documentation

配置域直通身份验证

Feb 02, 2016

本主题介绍了如何通过 XenDesktop 或 XenApp 为 Citrix Receiver 启用域直通身份验证。

注意

在此示例中,在客户端操作系统中安装 Citrix Receiver、应用计算机策略以及配置可信站点都是手动完成的。 构建组策略对象 (GPO) 模板后,可以将其应用于安装了 Citrix Receiver 的任何域客户端计算机。

Citrix Receiver 安装

安装 Citrix Receiver 时,可以通过两种方式启用域直通 (SSON) 身份验证:

  • 使用命令行安装
  • 使用图形用户界面

使用命令行界面启用域直通身份验证

使用命令行界面启用域直通 (SSON) 身份验证

  1. 使用 /includeSSON 开关安装 Citrix Receiver 4.x。
    • 安装一个或多个 StoreFront 应用商店(可以在以后的阶段完成此步骤);安装 StoreFront 应用商店不是设置域直通身份验证的必备条件。 
    • 通过启动 Citrix Receiver 确认已启用直通身份验证,然后在重新启动安装了 Citrix Receiver 的端点设备后确认 ssonsvr.exe 进程正在任务管理器中运行。

注意

有关添加一个或多个 StoreFront 应用商店的语法信息,请参阅使用命令行参数配置和安装 Receiver for Windows

使用图形用户界面启用域直通身份验证

要使用图形用户界面启用域直通身份验证,请执行以下操作:

  1. 找到 Citrix Receiver 安装文件 (CitrixReceiver.exe)。
  2. 双击 CitrixReceiver.exe 启动安装程序。
  3. 在“启用单点登录”安装向导中,选中“启用单点登录”复选框以安装启用了 SSON 功能的 Citrix Receiver;这等同于使用命令行开关 /includeSSON 安装 Citrix Receiver。

下图说明了如何启用单点登录:

localized image

注意

“启用单点登录”安装向导仅适用于在加入域的计算机上执行的全新安装。

通过启动 Citrix Receiver 确认已启用直通身份验证,然后在重新启动安装了 Citrix Receiver 的端点设备后确认 ssonsvr.exe 进程正在任务管理器中运行。

SSON 的组策略设置

请根据本部分中的信息配置 SSON 身份验证的组策略设置。

注意

与 SSON 有关的 GPO 策略设置的默认值为启用直通身份验证,并且此默认值足以使 SSON 正常运行。 请按照下面的过程修改此设置。 

为 SSON 组策略使用 ADMX 文件

请按照以下过程使用 ADMX 文件配置组策略设置:

  1. 加载组策略文件。 对于使用 Citrix Receiver 4.3 及更高版本的安装,请使用 %SystemDrive%\Program Files (x86)\Citrix\ICA Client\Configuration 文件夹中的 Receiver.ADMXReceiver.ADML 文件。
  2. 打开 gpedit.msc,右键单击计算机配置 > 管理模板 - > Citrix 组件 -> Citrix Receiver -> 用户身份验证
  3. 启用以下本地计算机 GPO 设置(在用户的本地计算机上和/或 VDA 桌面黄金映像中):
    • 选择本地用户名和密码。
    • 选择已启用
    • 选择启用直通身份验证
  4. 重新启动端点设备(其上安装了 Citrix Receiver)或 VDA 桌面黄金映像。
localized image

为 SSON 组策略使用 ADM 文件

请按照以下过程使用 ADM 文件配置组策略设置:

  1. 通过选择计算机配置 > 右键单击“管理模板”> 选择“添加/删除模板”打开本地组策略编辑器。
  2. 单击添加添加 ADM 模板。
  3. 成功添加 receiver.adm 模板后,依次展开计算机配置 > 管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 用户身份验证
localized image

4. 在本地计算机上和/或 VDA 桌面黄金映像中打开 Internet Explorer。

5. 在 Internet 设置 > 安全 > 可信站点中,将 StoreFront 服务器的完全限定域名 (FQDN)(不包含应用商店路径)添加到列表中。 例如,https://storefront.example.com。

注意

还可以使用 Microsoft GPO 将 StoreFront 服务器添加到“可信站点”。 GPO 名为站点到区域分配列表;可以在计算机配置 > 管理模板 > Windows 组件 > Internet Explorer > Internet 控制面板 > 安全页中找到此列表。

6. 注销并重新登录 Citrix Receiver 端点。

Citrix Receiver 打开时,如果当前用户已登录到域,用户的凭据以及枚举的 Citrix Receiver 内部的应用程序和桌面(包括用户的“开始”菜单设置)将传递到 StoreFront。 用户单击某个图标时,Citrix Receiver 会将用户的域凭据传递到 Delivery Controller,此时将打开应用程序(或桌面)。

Delivery Controller 上的变更

按照以下过程在 StoreFront 和 Web Interface 上配置 SSON

  1. 以管理员身份登录 Delivery Controller。
  2. 打开 Windows PowerShell(通过管理员权限)。 通过 PowerShell,您可以发出允许 Delivery Controller 信任发自 StoreFront 的 XML 请求的命令。
  3. 如果尚未加载,请通过键入 Add-PSSapin Citrix* 加载 Citrix cmdlet 并按 Enter 键。
  4. 按 Enter 键。
  5. 键入 Add-PSSnapin citrix.broker.admin.v2 并按 Enter 键。
  6. 键入 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True 并按 Enter 键。
  7. 关闭 PowerShell。

在 StoreFront 和 Web Ingterface 上配置 SSON

StoreFront 配置

要在 StoreFront 和 Web Ingterface 上配置 SSON,请在 StoreFront 服务器上打开 Studio,然后选择身份验证 -> 添加/删除方法。 选择域直通。 

localized image

Web Interface 配置

要在 Web Interface 上配置 SSON,请选择 Citrix Web Interface 管理 -> XenApp Sevices 站点 -> 管理方法并启用直通

localized image

关于 FastConnect API 和 HTTP 基本身份验证

FastConnect API 使用 HTTP 基本身份验证方法,该方法经常与域直通、Kerberos 和 IWA 的关联身份验证方法混淆。 Citrix 建议您在 StoreFront 上以及 ICA 组策略中禁用 IWA。