Product Documentation

域或域加安全令牌身份验证

Dec 14, 2016
XenMobile 支持根据一个或多个目录执行基于域的身份验证,例如与轻型目录访问协议 (LDAP) 兼容的 Active Directory。 您可以在 XenMobile 中配置与一个或多个目录的连接,然后使用 LDAP 配置导入组、用户帐户和相关属性。
 
LDAP 是一个独立于供应商的开源应用程序协议,用于通过 Internet 协议 (IP) 网络访问和维护分布式目录信息服务。 目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。 LDAP 的常见用处是为用户提供单点登录 (SSO),即每个用户在多项服务之间共享一个密码,使用户登录一次公司 Web 站点之后,即可自动登录到公司的 Intranet。
 
客户端通过连接到 LDAP 服务器(称为目录系统代理程序 (Directory System Agent, DSA))启动 LDAP 会话。 然后,客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。

在 XenMobile 中添加 LDAP 连接

1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。 此时将显示设置页面。

2. 在服务器下面,单击 LDAP。 此时将显示 LDAP 页面。 可以从此页面添加编辑删除兼容 LDAP 的目录。

localized image

添加兼容 LDAP 的目录

1. 在 LDAP 页面上,单击添加。 此时将显示 Add LDAP(添加 LDAP)页面。

localized image

2. Configure these settings:

  • Directory type: In the list, click the appropriate directory type. The default is Microsoft Active Directory.
  • Primary server: Type the primary server used for LDAP; you can enter either the IP address or the fully qualified domain name (FQDN).
  • Secondary server: Optionally, if a secondary server has been configured, enter the IP address or FQDN for the secondary server. This server is a failover server used if the primary server cannot be reached.
  • Port: Type the port number used by the LDAP server. By default, the port number is set to 389 for unsecured LDAP connections. Use port number 636 for secure LDAP connections, use 3268 for Microsoft unsecure LDAP connections, or 3269 for Microsoft secure LDAP connections.
  • Domain name: Type the domain name.
  • User base DN: Type the location of users in Active Directory through a unique identifier. Syntax examples include: ou=users, dc=example, or dc=com.
  • Group base DN: Type the location of groups in Active Directory. For example, cn=users, dc=domain, dc=net where cn=users represents the container name of the groups and dc represents the domain component of Active Directory.
  • User ID: Type the user ID associated with the Active Directory account.
  • Password: Type the password associated with the user.
  • Domain alias: Type an alias for the domain name.
  • XenMobile Lockout Limit: Type a number between 0 and 999 for the number of failed logon attempts. Setting this field to 0 means that XenMobile will never lock out the user based on failed logon attempts.
  • XenMobile Lockout Time: Type a number between 0 and 99999 representing the number of minutes a user must wait after exceeding the lockout limit. Setting this field to 0 means that the user will not be forced to wait after a lockout.
  • Global Catalog TCP Port: Type the TCP port number for the Global Catalog server. By default, the TCP port number is set to 3268; for SSL connections, use port number 3269.
  • Global Catalog Root Context: Optionally, type the Global Root Context value used to enable a global catalog search in Active Directory. This search is in addition to the standard LDAP search, in any domain without the need to specify the actual domain name.
  • User search by: In the list, click either userPrincipalName, or sAMAccountName. The default is userPrincipalName.
  • Use secure connection: Select whether to use secure connections. The default is NO.

3. Click Save.

编辑兼容 LDAP 的目录

1. In the LDAP table, select the directory you want to edit.

Note: When you select the check box next to a directory, the options menu appears above the LDAP list; when you click anywhere else in the list, the options menu appears on the right side of the listing.

2. Click Edit. The Edit LDAP page appears.

localized image

3. 适当更改以下信息:

  • 目录类型:在列表中,单击相应的目录类型。
  • 主服务器:键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN)。
  • 辅助服务器:可选。如果配置了辅助服务器,键入辅助服务器的 IP 地址或 FQDN。
  • 端口:键入用于 LDAP 服务器的端口号。 默认情况下,对于不安全的 LDAP 连接,端口号设置为 389。 请为安全的 LDAP 连接使用端口号 636,为 Microsoft 的不安全 LDAP 连接使用 3268,或者为 Microsoft 的安全 LDAP 连接使用 3269。
  • 域名:无法更改此字段。
  • 用户基础 DN:通过唯一的标识符在 Active Directory 中键入用户的位置。 语法示例包括:ou=users、dc=example 或 dc=com。
  • 组基础 DN:键入组基础 DN 组名,以 cn=groupname 的形式指定。 例如,cn=users, dc=servername, dc=net,其中 cn=users 是组名;DN 和 servername 表示运行 Active Directory 的服务器的名称。
  • 用户 ID:键入与 Active Directory 帐户关联的用户 ID。
  • 密码:键入与用户关联的密码。
  • 域别名:键入域名称的别名。
  • XenMobile 锁定限制:键入介于 0 至 999 之间的数字,表示失败登录尝试次数。 将此字段设为 0 表示 XenMobile 始终不会根据失败登录尝试次数锁定用户。
  • XenMobile 锁定时间:键入介于 0 至 99999 之间的数字,表示用户超过锁定限制后必须等待的分钟数。 将此字段设为 0 表示不会强制用户在锁定后等待。
  • 全局目录 TCP 端口:键入全局目录服务器的 TCP 端口号。 默认情况下,TCP 端口号设为 3268;对于 SSL 连接,使用端口号 3269。
  • 全局目录根上下文:可选,键入用于在 Active Directory 中启用全局目录搜索的全局根上下文值。 此搜索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。
  • 用户搜索依据:在此列表中,单击 userPrincipalNamesAMAccountName
  • 使用安全连接:选择是否使用安全连接。

4. 单击保存以保存您的更改,或单击取消保持属性不发生更改。

删除兼容 LDAP 的目录

1. 在 LDAP 表格中,选择要删除的目录。

注意:可以通过选中每个属性旁边的复选框,选择要删除的多个属性。

2. 单击删除。 此时将显示确认对话框。 再次单击删除

配置域加安全令牌身份验证

可以将 XenMobile 配置为要求用户通过 RADIUS 协议使用其 LDAP 凭据以及一次性密码进行身份验证。

为实现最佳可用性,您可以将此配置与 Citrix PIN 和 Active Directory 密码缓存组合在一起,以便用户不需要重复输入其 Active Directory 用户名和密码。 用户需要在注册、密码过期和帐户锁定时输入用户名和密码。

配置 LDAP 设置

使用 LDAP 进行身份验证要求您在 XenMobile 上安装证书颁发机构颁发的 SSL 证书。 有关详细信息,请参阅在 XenMobile 中上载证书

1. 在设置中,单击 LDAP

2. 选择 Microsoft Active Directory,然后单击编辑

localized image

3. 确认 Port(端口)为 636(适用于安全 LDAP 连接)还是 3269(适用于 Microsoft 安全 LDAP 连接)。

4. 将使用安全连接更改为

localized image

配置 NetScaler Gateway 设置

以下步骤假定您已向 XenMobile 中添加 NetScaler Gateway 实例。 要添加 NetScaler Gateway 实例,请参阅配置新 NetScaler Gateway 实例

1. 在设置中,单击 NetScaler Gateway

2. 选择 NetScaler Gateway,然后单击编辑

3. 在登录类型中,选择域和安全令牌

localized image

启用 Worx PIN 和用户密码缓存

要启用 Worx PIN 和用户密码缓存,请转至 Settings(设置)> Client Properties(客户端属性),然后选中复选框 Enable Worx PIN Authentication(启用 Worx PIN 身份验证)和 Enable User Password Caching(启用用户密码缓存)。 有关详细信息,请参阅客户端属性

配置 NetScaler Gateway 以进行域和安全令牌身份验证

为与 XenMobile 配合使用的虚拟服务器配置 NetScaler Gateway 会话配置文件和策略。 有关信息,请参阅 NetScaler Gateway 文档中的为 XenMobile 配置域和安全令牌身份验证