Product Documentation

配置 Kerberos 登录

Sep 14, 2015

Citrix Receiver 通过传递身份验证实现增强的安全性。传递身份验证利用 Kerberos 身份验证,而非通过网络发送用户密码。Kerberos 是 Windows 操作系统内置的行业标准网络身份验证协议。Kerberos 登录使关注安全性的用户能够方便地将传递身份验证与行业标准网络安全解决方案所提供的密钥加密和数据完整性结合在一起。

系统要求

Kerberos 登录只在属于相同或可信 Windows 域的客户端和服务器之间起作用。服务器还必须启用信任委派,您可以通过“Active Directory 用户和计算机管理”工具配置该选项。

Kerberos 登录在以下情况下不可用:
  • 如果您使用以下远程桌面服务选项:
    • 使用标准 Windows 身份验证
    • “总是使用下列登录信息”或“始终提示密码”
  • 如果您通过 Secure Gateway 路由连接
  • 如果运行 XenApp 的服务器要求使用智能卡登录

Kerberos 要求为服务器场启用 Citrix XML Service DNS 地址解析,或者为 Active Directory 域启用反向 DNS 解析。

用户访问控制和管理员会话

用户访问控制功能在满足以下所有要求时会提示用户输入其凭据:
  • 在运行 XenApp 的服务器上启用 Kerberos 登录
  • 登录到运行 XenApp 的计算机的用户是该计算机管理员组的成员
  • 登录后,管理员组用户尝试访问网络资源(例如共享文件夹和打印机)

对 XenApp 进行 Kerberos 传递身份验证的限制

Windows 支持 Kerberos 和 NTLM 两种身份验证协议,因此,应用程序(例如 Windows 资源管理器、Internet Explorer、Mozilla Firefox、Apple Safari、Google Chrome、Microsoft Office 及其他应用程序)可以使用 Windows 传递身份验证来访问网络资源,而不提供显式的用户身份验证提示。

使用 Kerberos 传递身份验证启动 XenApp 会话时,存在可能会影响应用程序行为的技术限制。
  • XenApp 上运行的依赖于 NTLM 身份验证协议的应用程序,会生成显式用户身份验证提示,或者失败。

    大多数支持 Windows 传递身份验证的应用程序和网络服务可同时接受 Kerberos 和 NTLM 协议,但有些则不然。此外,Kerberos 在某些类型的域信任链接中无法运行,这种情况下,应用程序会自动使用 NTLM 协议。但是,在使用 Kerberos 传递身份验证启动的 XenApp 会话中,NTLM 协议无法运行,这样可防止无法使用 Kerberos 的应用程序自行进行身份验证。

  • 如果 XenApp 会话长期(通常为一周)保持运行状态,而没有断开并重新连接,则应用程序的 Kerberos 传递身份验证会过期。

    Kerberos 以域控制器颁发的安全票证为基础,该票证强制指定最大刷新周期(通常为一周)。最大刷新周期结束后,Windows 会使用 NTLM 协议所需的缓存网络凭据,自动获取新的 Kerberos 票证。但是,如果 XenApp 会话是使用 Kerberos 传递身份验证启动的,这些网络凭据将不可用。

启用 Citrix XML Service DNS 地址解析

配置 Citrix 计算机策略 DNS 地址解析设置。

禁用服务器的 Kerberos 登录

警告:注册表编辑器使用不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。

要阻止在特定服务器上对用户进行 Kerberos 身份验证,请在该服务器上创建以下“DWORD 值”类型的注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\Logon\ DisableSSPI = 1

可以将 Citrix Receiver 配置为使用 Kerberos 身份验证(是否采用传递身份验证皆可)。