XenMobile Server

域或域加安全令牌身份验证

XenMobile 支持对一个或多个(与轻型目录访问协议 (LDAP) 兼容的)目录执行基于域的身份验证。您可以在 XenMobile 中配置与一个或多个目录的连接,然后使用 LDAP 配置导入组、用户帐户和相关属性。

LDAP 是一个独立于供应商的开源应用程序协议,用于通过 Internet 协议 (IP) 网络访问和维护分布式目录信息服务。目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。

LDAP 的常见用处是为用户提供单点登录 (SSO),即每个用户在多项服务之间共享一个密码。通过单点登录,用户登录一次公司 Web 站点,可对公司 Intranet 进行经过身份验证访问。

客户端通过连接到 LDAP 服务器(称为目录系统代理程序 (Directory System Agent, DSA))启动 LDAP 会话。然后,客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。

重要提示:

用户在 XenMobile 中注册设备后,XenMobile 不支持将身份验证模式从域身份验证更改为其他身份验证模式。

在 XenMobile 中添加 LDAP 连接

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 LDAP。此时将显示 LDAP 页面。可以添加、编辑或删除 LDAP 兼容目录,如本文中所述。

    LDAP 配置屏幕

添加 LDAP 兼容目录

  1. LDAP 页面上,单击添加。此时将显示添加 LDAP 页面。

    LDAP 配置屏幕

  2. 配置以下设置:

    • 目录类型: 在列表中,单击相应的目录类型。默认值为 Microsoft Active Directory
    • 主服务器: 键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN)。
    • 辅助服务器: (可选)如果配置了辅助服务器,请输入辅助服务器的 IP 地址或 FQDN。此服务器是故障转移服务器,在无法访问主服务器时使用。
    • 端口: 键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389。对安全的 LDAP 连接使用端口号 636,对 Microsoft 不安全 LDAP 连接使用 3268,或者对 Microsoft 安全 LDAP 连接使用 3269
    • 域名: 键入域名。
    • 用户基础 DN: 通过唯一标识符在 Active Directory 中键入用户的位置。语法示例包括:ou=usersdc=exampledc=com
    • 组基础 DN: 在 Active Directory 中键入组的位置。例如 cn=users, dc=domain, dc=net,其中 cn=users 表示组的容器名称,dc 表示 Active Directory 的域组件。
    • 用户 ID: 键入与 Active Directory 帐户关联的用户 ID。
    • 密码: 键入与用户关联的密码。
    • 域别名: 键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。
    • XenMobile 锁定限制: 键入 0999 之间的数字,表示失败登录尝试次数。值为 0 表示 XenMobile 从不根据失败登录尝试次数锁定用户。
    • XenMobile 锁定时间: 键入 099999 之间的数字,表示用户超过锁定限制后必须等待的分钟数。值为 0 表示不强制用户在锁定后等待。
    • 全局目录 TCP 端口: 键入全局目录服务器的 TCP 端口号。默认情况下,TCP 端口号设置为 3268;对于 SSL 连接,使用端口号 3269
    • 全局目录根上下文: (可选)键入用于在 Active Directory 中启用全局目录搜索的全局根上下文值。此搜索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。
    • 用户搜索依据: 在此列表中,单击 userPrincipalNamesAMAccountName。默认值为 userPrincipalName。如果在注册后通过设置更改用户搜索,用户必须重新注册。
    • 使用安全连接: 选择是否使用安全连接。默认值为
  3. 单击保存

编辑 LDAP 兼容目录

  1. LDAP 表中,选择要编辑的目录。

    选中某个目录旁边的复选框时,选项菜单将显示在 LDAP 列表上方。单击列表中的其他任意位置,选项菜单将显示在列表右侧。

  2. 单击编辑。此时将显示编辑 LDAP 页面。

    LDAP 配置屏幕

  3. 适当更改以下信息:

    • 目录类型: 在列表中,单击相应的目录类型。
    • 主服务器: 键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN)。
    • 辅助服务器: (可选)键入辅助服务器的 IP 地址或 FQDN(如果配置了辅助服务器)。
    • 端口: 键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389。对安全的 LDAP 连接使用端口号 636,对 Microsoft 不安全 LDAP 连接使用 3268,或者对 Microsoft 安全 LDAP 连接使用 3269
    • 域名: 无法更改此字段。
    • 用户基础 DN: 通过唯一标识符在 Active Directory 中键入用户的位置。语法示例包括:ou=usersdc=exampledc=com
    • 组基础 DN: 键入组基础 DN 组名称,以 cn=groupname 的形式指定。例如,cn=users, dc=servername, dc=net,其中 cn=users 为组名称。DNservername 表示运行 Active Directory 的服务器的名称。
    • 用户 ID: 键入与 Active Directory 帐户关联的用户 ID。
    • 密码: 键入与用户关联的密码。
    • 域别名: 键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。
    • XenMobile 锁定限制: 键入 0999 之间的数字,表示失败登录尝试次数。值为 0 表示 XenMobile 从不根据失败登录尝试次数锁定用户。
    • XenMobile 锁定时间: 键入 099999 之间的数字,表示用户超过锁定限制后必须等待的分钟数。值为 0 表示不强制用户在锁定后等待。
    • 全局目录 TCP 端口: 键入全局目录服务器的 TCP 端口号。默认情况下,TCP 端口号设置为 3268;对于 SSL 连接,使用端口号 3269
    • 全局目录根上下文: (可选)键入用于在 Active Directory 中启用全局目录搜索的全局根上下文值。此搜索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。
    • 用户搜索依据: 在此列表中,单击 userPrincipalNamesAMAccountName。如果在注册后通过设置更改用户搜索,用户必须重新注册。
    • 使用安全连接: 选择是否使用安全连接。
  4. 单击保存以保存您所做更改,或单击取消保留属性不变。

删除 LDAP 兼容目录

  1. LDAP 表中,选择要删除的目录。

    可以通过选中每个属性旁边的复选框,选择多个要删除的属性。

  2. 单击删除。此时将显示确认对话框。再次单击删除

为多个域配置身份验证

要将 XenMobile Server 配置为在 LDAP 配置中使用多个域后缀,请参阅 Citrix Endpoint Management 文档为多个域配置身份验证中的过程。这些步骤在本地版本的 XenMobile Server 和 Endpoint Management 云版本中相同。

配置域加安全令牌身份验证

可以将 XenMobile 配置为要求用户通过 RADIUS 协议使用其 LDAP 凭据以及一次性密码进行身份验证。

要实现最佳可用性,可以将此配置与 Citrix PIN 和 Active Directory 密码缓存组合在一起。采用该配置时,用户不需要重复输入其 LDAP 用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。

配置 LDAP 设置

使用 LDAP 进行身份验证要求您在 XenMobile 上安装证书颁发机构颁发的 SSL 证书。有关信息,请参阅在 XenMobile 中上载证书

  1. 设置中,单击 LDAP

  2. 选择 Microsoft Active Directory,然后单击编辑

    LDAP 配置屏幕

  3. 确认“端口”为 636(用于安全 LDAP 连接)还是 3269(用于 Microsoft 安全 LDAP 连接)。

  4. 使用安全连接更改为

    LDAP 配置屏幕

配置 Citrix Gateway 设置

以下步骤假定您已向 XenMobile 中添加 Citrix Gateway 实例。要添加 Citrix Gateway 实例,请参阅添加 Citrix Gateway 实例

  1. 设置中,单击 Citrix Gateway

  2. 选择 Citrix Gateway,然后单击编辑

  3. 登录类型中,选择域和安全令牌

    Citrix Gateway 配置屏幕

启用 Citrix PIN 和用户密码缓存

要启用 Citrix PIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 Citrix PIN 身份验证启用用户密码缓存。有关详细信息,请参阅客户端属性

配置 Citrix Gateway 以进行域和安全令牌身份验证

为与 XenMobile 配合使用的虚拟服务器配置 Citrix Gateway 会话配置文件和策略。有关信息,请参阅 Citrix Gateway 文档。

域或域加安全令牌身份验证