Product Documentation

域或域加安全令牌身份验证

Feb 27, 2017
XenMobile 支持根据一个或多个目录执行基于域的身份验证,例如与轻型目录访问协议 (LDAP) 兼容的 Active Directory。您可以在 XenMobile 中配置与一个或多个目录的连接,然后使用 LDAP 配置导入组、用户帐户和相关属性。
LDAP 是一个独立于供应商的开源应用程序协议,用于通过 Internet 协议 (IP) 网络访问和维护分布式目录信息服务。目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。LDAP 的常见用处是为用户提供单点登录 (SSO),即每个用户在多项服务之间共享一个密码,使用户登录一次公司 Web 站点之后,即可自动登录到公司的 Intranet。
客户端通过连接到 LDAP 服务器(称为目录系统代理程序 (Directory System Agent, DSA))启动 LDAP 会话。然后,客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。

在 XenMobile 中添加 LDAP 连接

1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

2. 在服务器下方,单击 LDAP。此时将显示 LDAP 页面。可以从此页面添加编辑删除兼容 LDAP 的目录。

localized image

添加兼容 LDAP 的目录

1. 在 LDAP 页面上,单击添加。此时将显示添加 LDAP 页面。

localized image

2. 配置以下设置:

  • 目录类型:在列表中,单击相应的目录类型。默认值为 Microsoft Active Directory
  • 主服务器:键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN)。
  • 辅助服务器:(可选)如果配置了辅助服务器,请输入辅助服务器的 IP 地址或 FQDN。此服务器是故障转移服务器,在无法访问主服务器时使用。
  • 端口:键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389。请为安全的 LDAP 连接使用端口号 636,为 Microsoft 的不安全 LDAP 连接使用 3268,或者为 Microsoft 的安全 LDAP 连接使用 3269。
  • 域名:键入域名。
  • 用户基础 DN:通过唯一的标识符在 Active Directory 中键入用户的位置。语法示例包括:ou=users、dc=example 或 dc=com。
  • 组基本 DN:在 Active Directory 中键入组的位置。例如,cn=users, dc=domain, dc=net,其中 cn=users 表示组的容器名称,dc 表示 Active Directory 的域组件。
  • 用户 ID:键入与 Active Directory 帐户关联的用户 ID。
  • 密码:键入与用户关联的密码。
  • 域别名:键入域名称的别名。
  • XenMobile 锁定限制:键入介于 0 至 999 之间的数字,表示失败登录尝试次数。将此字段设置为 0 表示 XenMobile 从不会根据失败登录尝试次数锁定用户。
  • XenMobile 锁定时间:键入介于 0 至 99999 之间的数字,表示用户超过锁定限制后必须等待的分钟数。将此字段设为 0 表示不会强制用户在锁定后等待。
  • 全局目录 TCP 端口:键入全局目录服务器的 TCP 端口号。默认情况下,TCP 端口号设为 3268;对于 SSL 连接,使用端口号 3269。
  • 全局目录根上下文:可选,键入用于在 Active Directory 中启用全局目录搜索的全局根上下文值。此搜索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。
  • 用户搜索依据:在此列表中,单击 userPrincipalNamesAMAccountName。默认值为 userPrincipalName
  • 使用安全连接:选择是否使用安全连接。默认值为

3. 单击保存

编辑兼容 LDAP 的目录

1. 在 LDAP 表中,选择要编辑的目录。

注意:如果选中某个目录旁边的复选框,选项菜单将显示在 LDAP 列表上方;如果单击此列表的任何其他位置,选项菜单将显示在列表右侧。

2. 单击编辑。此时将显示编辑 LDAP 页面。

localized image

3. 适当更改以下信息:

  • 目录类型:在列表中,单击相应的目录类型。
  • 主服务器:键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN)。
  • 辅助服务器:(可选)键入辅助服务器的 IP 地址或 FQDN(如果配置了辅助服务器)。
  • 端口:键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389。请为安全的 LDAP 连接使用端口号 636,为 Microsoft 的不安全 LDAP 连接使用 3268,或者为 Microsoft 的安全 LDAP 连接使用 3269。
  • 域名:无法更改此字段。
  • 用户基础 DN:通过唯一的标识符在 Active Directory 中键入用户的位置。语法示例包括:ou=users、dc=example 或 dc=com。
  • 组基础 DN:键入组基础 DN 组名,以 cn=groupname 的形式指定。例如,cn=users, dc=servername, dc=net,其中 cn=users 是组名;DN 和 servername 表示运行 Active Directory 的服务器的名称。
  • 用户 ID:键入与 Active Directory 帐户关联的用户 ID。
  • 密码:键入与用户关联的密码。
  • 域别名:键入域名称的别名。
  • XenMobile 锁定限制:键入介于 0 至 999 之间的数字,表示失败登录尝试次数。将此字段设置为 0 表示 XenMobile 从不会根据失败登录尝试次数锁定用户。
  • XenMobile 锁定时间:键入介于 0 至 99999 之间的数字,表示用户超过锁定限制后必须等待的分钟数。将此字段设为 0 表示不会强制用户在锁定后等待。
  • 全局目录 TCP 端口:键入全局目录服务器的 TCP 端口号。默认情况下,TCP 端口号设为 3268;对于 SSL 连接,使用端口号 3269。
  • 全局目录根上下文:可选,键入用于在 Active Directory 中启用全局目录搜索的全局根上下文值。此搜索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。
  • 用户搜索依据:在此列表中,单击 userPrincipalNamesAMAccountName
  • 使用安全连接:选择是否使用安全连接。

4. 单击保存以保存您的更改,或单击取消保持属性不变。

删除兼容 LDAP 的目录

1. 在 LDAP 表格中,选择要删除的目录。

注意:可以通过选中每个属性旁边的复选框,选择要删除的多个属性。

2. 单击删除。此时将显示确认对话框。再次单击删除

配置域加安全令牌身份验证

可以将 XenMobile 配置为要求用户通过 RADIUS 协议使用其 LDAP 凭据以及一次性密码进行身份验证。

为实现最佳可用性,您可以将此配置与 Citrix PIN 和 Active Directory 密码缓存组合在一起,以便用户不需要重复输入其 Active Directory 用户名和密码。用户需要在注册、密码过期和帐户锁定时输入用户名和密码。

配置 LDAP 设置

使用 LDAP 进行身份验证要求您在 XenMobile 上安装证书颁发机构颁发的 SSL 证书。有关详细信息,请参阅在 XenMobile 中上载证书

1. 在设置中,单击 LDAP

2. 选择 Microsoft Active Directory,然后单击编辑

localized image

3. 确认“端口”为 636(适用于安全 LDAP 连接)还是 3269(适用于 Microsoft 安全 LDAP 连接)。

4. 将使用安全连接更改为

localized image

配置 NetScaler Gateway 设置

以下步骤假定您已向 XenMobile 中添加 NetScaler Gateway 实例。要添加 NetScaler Gateway 实例,请参阅配置新 NetScaler Gateway 实例

1. 在设置中,单击 NetScaler Gateway

2. 选择 NetScaler Gateway,然后单击编辑

3. 在登录类型中,选择域和安全令牌

localized image

启用 Citrix PIN 和用户密码缓存

要启用 Citrix PIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 Citrix PIN 身份验证启用用户密码缓存。有关详细信息,请参阅客户端属性

配置 NetScaler Gateway 以进行域和安全令牌身份验证

为与 XenMobile 配合使用的虚拟服务器配置 NetScaler Gateway 会话配置文件和策略。有关信息,请参阅 NetScaler Gateway 文档中的为 XenMobile 配置域和安全令牌身份验证