Product Documentation

支持的智能卡部署

Nov 06, 2015

此版本以及包含此版本和 Citrix XenDesktop 5.6 Feature Pack 1 的混合环境支持以下类型的智能卡部署。本部分的其他主题将详细介绍各个部署。其他配置可能可以运行,但不受支持。

类型 StoreFront 连接
加入域的本地计算机 直接连接
从加入域的计算机远程访问 通过 NetScaler Gateway 连接
未加入域的计算机 直接连接
从未加入域的计算机远程访问 通过 NetScaler Gateway 连接
访问桌面设备站点的未加入域的计算机和瘦客户端 通过桌面设备站点连接
通过 XenApp Services URL 访问 StoreFront 的加入域的计算机和瘦客户端 通过 XenApp Services URL 连接

部署类型由智能卡读卡器连接到的用户设备的以下特性定义:

  • 设备是否已加入域。
  • 设备连接到 StoreFront 的方式。
  • 查看虚拟桌面和应用程序使用的软件。

此外,启用智能卡的应用程序(如 Microsoft Word 和 Microsoft Excel)也可在这些部署中使用。这些应用程序允许用户对文档进行数字签名或加密。

双模式身份验证

在其中的每个部署中,如有可能,Receiver 支持双模式身份验证,允许用户在使用智能卡和输入其用户名和密码之间进行选择。如果无法使用智能卡(例如,用户将智能卡遗忘在家中或登录证书已过期),此功能会很有帮助。

由于未加入域的设备的用户将直接登录到 Receiver for Windows,因此,您可以允许用户回退至显式身份验证。如果您配置了双模式身份验证,则系统最初会提示用户使用智能卡和 PIN 进行登录,但在智能卡出现问题时可以选择使用显式身份验证。

如果您部署 NetScaler Gateway,则用户登录到设备后,Receiver for Windows 会提示用户完成 NetScaler Gateway 的身份验证。对于加入域的设备和未加入域的设备均是如此。用户可以使用智能卡和 PIN 或使用显式凭据登录到 NetScaler Gateway。这样,您可以向用户提供 NetScaler Gateway 登录的双模式身份验证。可以配置从 NetScaler Gateway 到 StoreFront 的直通身份验证,并将智能卡用户的凭据验证委派给 NetScaler Gateway,这样用户就可以无提示地通过 StoreFront 的身份验证。

多个 Active Directory 林注意事项

在 Citrix 环境中,在单个林中支持智能卡。跨林进行智能卡登录要求对所有用户帐户启用直接双向林信任。不支持涉及智能卡的更加复杂的多林部署(即,其中的信任仅为单向信任或具有不同的类型)。

您可以在包括远程桌面的 Citrix 环境中使用智能卡。可以在本地(在智能卡连接的用户设备上)或远程(在用户设备连接的远程桌面上)安装此功能。

智能卡移除策略

在 XenDesktop 上设置的智能卡移除策略用于确定当在会话期间从读卡器中移除智能卡时所发生的操作。智能卡移除策略通过 Windows 操作系统进行配置,并且也由 Windows 操作系统来处理。

策略设置 桌面行为

不采取任何措施

不采取任何措施。

锁定工作站

桌面会话断开连接,并锁定虚拟桌面。

强制注销

将强制用户注销。如果网络连接已断开,并启用了此设置,则此会话可能会注销,用户可能会丢失数据。

如果是远程终端服务会话,则断开连接

会话断开连接,并锁定虚拟桌面。

证书吊销检查

如果启用证书吊销检查,并且用户将具有无效证书的智能卡插入读卡器,用户将无法对与该证书相关的桌面或应用程序进行身份验证或访问。例如,如果使用无效证书进行电子邮件解密,电子邮件将保持加密状态。如果卡上的其他证书(例如,用于身份验证的证书)仍有效,这些功能将仍有效。