Product Documentation

使用智能卡安全地进行身份验证

Oct 12, 2015

如果贵组织使用智能卡方式进行用户身份验证,XenApp 和 XenDesktop 支持依照此处所规定的指导原则来实现智能卡身份验证。

管理智能卡

在组织中管理智能卡时的注意事项:

  • 在同一个用户设备上可以使用多个智能卡和多个读卡器,但是,如果正在使用直通身份验证,当用户启动虚拟桌面或应用程序时必须仅插入一个智能卡。在应用程序中使用智能卡时(例如,为了实现数字签名或加密功能),可能会出现要求插入智能卡或输入 PIN 的其他提示。同时插入多个智能卡时可能会发生这种情况。当智能卡已插入读卡器中,但仍提示插入智能卡时,应选择取消。如果提示输入 PIN,就应该重新输入 PIN。
  • 如果将 Windows Server 2008 或 2008 R2 上运行的托管应用程序与需要安装 Microsoft 基本智能卡加密服务提供程序的智能卡一起使用,您可能会发现如果某个用户运行了智能卡事务,则其他所有正在使用智能卡登录的用户都将被阻止。有关更多详细信息和用于解决此问题的修补程序,请参阅 http://support.microsoft.com/kb/949538

您的组织可能具有有关智能卡使用的特定安全策略。例如,这些策略可能说明如何颁发智能卡,以及用户应该如何保护这些智能卡。在 XenApp 或 XenDesktop 环境中,可能需要重新评估这些策略的某些方面。

您可以使用卡管理系统或供应商实用程序重置 PIN。

支持的智能卡部署

本版本和涉及本版本的混合环境支持以下类型的智能卡部署。本部分的其他主题将详细介绍各个部署。其他配置可能可以运行,但不受支持。

类型 StoreFront 连接
加入域的本地计算机 直接连接
从加入域的计算机远程访问 通过 NetScaler Gateway 连接
未加入域的计算机 直接连接
从未加入域的计算机远程访问 通过 NetScaler Gateway 连接
访问桌面设备站点的未加入域的计算机和瘦客户端 通过桌面设备站点连接
通过 XenApp Services URL 访问 StoreFront 的加入域的计算机和瘦客户端 通过 XenApp Services URL 连接

部署类型由智能卡读卡器连接到的用户设备的以下特性定义:

  • 设备是否已加入域。
  • 设备连接到 StoreFront 的方式。
  • 查看虚拟桌面和应用程序使用的软件。

此外,启用智能卡的应用程序(如 Microsoft Word 和 Microsoft Excel)也可在这些部署中使用。这些应用程序允许用户对文档进行数字签名或加密。

双模式身份验证

在其中的每个部署中,如有可能,Receiver 支持双模式身份验证,允许用户在使用智能卡和输入其用户名和密码之间进行选择。如果无法使用智能卡(例如,用户将智能卡遗忘在家中或登录证书已过期),此功能会很有帮助。

由于未加入域的设备的用户将直接登录到 Receiver for Windows,因此,您可以允许用户回退至显式身份验证。如果您配置了双模式身份验证,则系统最初会提示用户使用智能卡和 PIN 进行登录,但在智能卡出现问题时可以选择使用显式身份验证。

如果您部署 NetScaler Gateway,则用户登录到设备后,Receiver for Windows 会提示用户完成 NetScaler Gateway 的身份验证。对于加入域的设备和未加入域的设备均是如此。用户可以使用智能卡和 PIN 或使用显式凭据登录到 NetScaler Gateway。这样,您可以向用户提供 NetScaler Gateway 登录的双模式身份验证。可以配置从 NetScaler Gateway 到 StoreFront 的直通身份验证,并将智能卡用户的凭据验证委派给 NetScaler Gateway,这样用户就可以无提示地通过 StoreFront 的身份验证。

多个 Active Directory 林注意事项

在 Citrix 环境中,在单个林中支持智能卡。跨林进行智能卡登录要求对所有用户帐户启用直接双向林信任。不支持涉及智能卡的更加复杂的多林部署(即,其中的信任仅为单向信任或具有不同的类型)。

您可以在包括远程桌面的 Citrix 环境中使用智能卡。可以在本地(在智能卡连接的用户设备上)或远程(在用户设备连接的远程桌面上)安装此功能。

智能卡移除策略

在产品上设置的智能卡移除策略用于确定当在会话期间从读卡器中移除智能卡时所发生的操作。智能卡移除策略通过 Windows 操作系统进行配置,并且也由 Windows 操作系统来处理。

策略设置 桌面行为

不采取任何措施

不采取任何措施。

锁定工作站

桌面会话断开连接,并锁定虚拟桌面。

强制注销

将强制用户注销。如果网络连接已断开,并启用了此设置,则此会话可能会注销,用户可能会丢失数据。

如果是远程终端服务会话,则断开连接

会话断开连接,并锁定虚拟桌面。

证书吊销检查

如果启用证书吊销检查,并且用户将具有无效证书的智能卡插入读卡器,用户将无法对与该证书相关的桌面或应用程序进行身份验证或访问。例如,如果使用无效证书进行电子邮件解密,电子邮件将保持加密状态。如果卡上的其他证书(例如,用于身份验证的证书)仍有效,这些功能将仍有效。

示例

以下是一些智能卡部署示例。

加入域的计算机

此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的已加入域的用户设备。



用户使用智能卡和 PIN 登录设备。Receiver 使用集成 Windows 身份验证 (IWA) 向 StoreFront 服务器进行用户身份验证。StoreFront 将用户安全标识符 (SID) 传递到 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,系统不会提示用户重新输入 PIN,因为 Receiver 上已配置单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

从加入域的计算机远程访问

此部署涉及运行 Desktop Viewer 并通过 NetScaler Gateway/Access Gateway 连接到 StoreFront 的已加入域的用户设备。



用户使用智能卡和 PIN 登录设备,然后重新登录到 NetScaler Gateway/Access Gateway。第二次登录可以使用智能卡和 PIN,也可以使用用户名和密码,因为在此部署中 Receiver 允许双模式身份验证。

用户自动登录 StoreFront,将用户安全标识符 (SID) 传递到 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,系统不会提示用户重新输入 PIN,因为 Receiver 上已配置单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

未加入域的计算机

此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。



用户登录设备。通常情况下,用户需要输入用户名和密码,但由于此设备未加入域,因此此登录的凭据是可选的。因为在此部署中可使用双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN,或使用用户名和密码。然后 Receiver 对 StoreFront 进行身份验证。

StoreFront 将用户安全标识符 (SID) 传递到 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,系统会提示用户重新输入 PIN,因为在此部署中未提供单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

从未加入域的计算机远程访问

此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。



用户登录设备。通常情况下,用户需要输入用户名和密码,但由于此设备未加入域,因此此登录的凭据是可选的。因为在此部署中可使用双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN,或使用用户名和密码。然后 Receiver 对 StoreFront 进行身份验证。

StoreFront 将用户安全标识符 (SID) 传递到 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,系统会提示用户重新输入 PIN,因为在此部署中未提供单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

访问桌面设备站点的未加入域的计算机和瘦客户端

此部署涉及运行 Desktop Lock,并通过桌面设备站点连接到 StoreFront 的未加入域的用户设备。

Desktop Lock 是随 XenApp、XenDesktop 和 VDI-in-a-Box 一起发布的独立组件。它是 Desktop Viewer 的替代项,主要是针对重新设计用途的 Windows 计算机和 Windows 瘦客户端而设计的。Desktop Lock 取代了这些用户设备中的 Windows shell 和任务管理器,以阻止用户访问基础设备。通过使用 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。

注意:可以选择安装 Desktop Lock。


用户使用智能卡登录设备。如果 Desktop Lock 正在设备上运行,该设备配置为通过在 Kiosk 模式下运行的 Internet Explorer 启动桌面设备站点。该站点上的 ActiveX 控件会提示用户输入 PIN,然后将其发送到 StoreFront。StoreFront 将用户安全标识符 (SID) 传递到 XenApp 或 XenDesktop。分配的桌面组列表(按字母顺序)中的第一个可用桌面将启动。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

通过 XenApp Services URL 访问 StoreFront 的加入域的计算机和瘦客户端

此部署涉及运行 Desktop Lock,并通过 XenApp Services URL 连接到 StoreFront 的加入域的用户设备。

Desktop Lock 是随 XenApp、XenDesktop 和 VDI-in-a-Box 一起发布的独立组件。它是 Desktop Viewer 的替代项,主要是针对重新设计用途的 Windows 计算机和 Windows 瘦客户端而设计的。Desktop Lock 取代了这些用户设备中的 Windows shell 和任务管理器,以阻止用户访问基础设备。通过使用 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。

注意:可以选择安装 Desktop Lock。


用户使用智能卡和 PIN 登录设备。如果 Desktop Lock 正在设备上运行,它会使用集成 Windows 身份验证 (IWA) 向 StoreFront 服务器进行用户身份验证。StoreFront 将用户安全标识符 (SID) 传递到 XenApp 或 XenDesktop。当用户启动虚拟桌面时,系统不会提示用户重新输入 PIN,因为 Receiver 上已配置单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

使用智能卡进行直通身份验证和单点登录

直通身份验证

运行以下操作系统的用户设备支持使用智能卡对虚拟桌面进行直通身份验证:

  • Windows 8
  • Windows 7 SP1、Enterprise Edition 和 Professional Edition
  • Windows XP Service Pack 3,32 位版

运行以下操作系统的服务器支持使用智能卡对托管应用程序进行直通身份验证:

  • Windows Server 2012
  • Windows Server 2008

要使用智能卡对托管应用程序进行直通身份验证,请确保在配置使用智能卡进行直通身份验证作为站点的身份验证方法时启用 Kerberos。

注意:使用智能卡进行直通身份验证的可用性取决于许多因素,包括但不限于以下因素:
  • 贵组织关于直通身份验证的安全策略。
  • 中间件类型和配置。
  • 智能卡读卡器类型。
  • 中间件 PIN 缓存策略。

Citrix StoreFront 上已配置使用智能卡进行直通身份验证。有关详细信息,请参阅配置身份验证服务

单点登录

单点登录是一项 Citrix 功能,用于实现对虚拟桌面和应用程序启动的直通身份验证。您可以在加入域的直接访问 StoreFront 以及加入域的通过 NetScaler 访问 StoreFront 智能卡部署中使用此功能,以减少用户输入其 PIN 的次数。要在这些部署类型中使用单点登录,请在 default.ica 中编辑以下参数。此文件位于 StoreFront 服务器上:

  • 加入域的直接访问 StoreFront 智能卡部署 — 将 DisableCtrlAltDel 设置为 Off
  • 加入域的通过 NetScaler 访问 StoreFront 智能卡部署 — 将 UseLocalUserAndPassword 设置为 On

有关设置这些参数的更多说明,请参阅 StoreFront 或 NetScaler Gateway 文档。

单点登录功能的可用性取决于多种因素,包括但不限于以下内容:

  • 您的组织关于单点登录的安全策略。
  • 中间件类型和配置。
  • 智能卡读卡器类型。
  • 中间件 PIN 缓存策略。
注意:如果用户在连接智能卡读卡器时登录到 Virtual Delivery Agent (VDA),则会显示 Windows 头像,表示以前的成功身份验证模式,如智能卡或密码。因此,当启用单点登录时,可能会显示单点登录头像。要进行登录,用户必须单击切换用户以选择其他头像,单点登录头像将不会起作用。