Product Documentation

配置智能卡

Nov 06, 2015

本部分概述了如何准备 Citrix StoreFront、Citrix Desktop Lock 和桌面设备以与智能卡一起使用。

这些说明适用于 Citrix Receiver for Windows Enterprise 3.4 中包含的 Desktop Lock 版本。要配置 Citrix 4.2 中包含的 Desktop Lock 版本,请参阅 Receiver Desktop Lock 中的说明。

  1. 配置 StoreFront。有关详细信息,请参阅 StoreFront 产品文档。
    1. 将 XML Service 配置为使用 DNS 地址解析,以获取 Kerberos 支持。
    2. 配置 StoreFront 站点以进行 HTTPS 访问、创建由域证书颁发机构签署的服务器证书,并向默认 Web 站点中添加 HTTPS 绑定。
    3. 确保已启用使用智能卡进行直通身份验证。默认情况下此选项处于启用状态。
    4. 启用 Kerberos
    5. 启用 Kerberos使用智能卡进行直通身份验证
    6. 在 IIS 默认 Web 站点上启用匿名访问并使用集成 Windows 身份验证
    7. 确保 IIS 默认 Web 站点不需要 SSL 并忽略客户端证书。
    8. 启用 XenApp Services 支持。
  2. 在用户设备上配置本地计算机策略。
    1. 使用组策略管理控制台导入 icaclient.adm 模板。模板位于 %Program Files%\Citrix\ICA Client\Configuration\。
    2. 依次展开管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 用户身份验证
    3. 启用智能卡身份验证
    4. 启用本地用户名和密码
  3. 安装 Desktop Lock 之前,配置用户设备。
    1. 将 Delivery Controller 的 URL 添加到 Windows Internet Explorer 的可信站点列表中。
    2. 将第一个桌面组的 URL 添加到 Internet Explorer 的可信站点列表中。请使用以下格式:desktop://desktop-20group-20name。
    3. 启用 Internet Explorer 以使用可信站点的自动登录功能。
  4. 安装 Desktop Lock 之后,配置用户设备。
    1. 编辑注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PNAgent\ServerURL,以指向 Delivery Controller 的 PNAgent config.xml。
      警告:注册表编辑不当会导致严重问题,可能导致需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。在编辑注册表之前,请务必进行备份。

如果用户设备上已安装 Citrix Desktop Lock,则会强制执行一致的智能卡移除策略。例如,如果桌面的 Windows 智能卡移除策略设置为强制注销,则不管用户设备上的 Windows 智能卡移除策略设置为何,用户都必须从该用户设备注销。这样可确保用户设备处于一致状态。此行为仅适用于使用 Desktop Lock(而不是 Desktop Viewer)的用户设备。