Linux Virtual Delivery Agent

Verbundauthentifizierungsdienst

Übersicht

Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ist eine privilegierte Komponente für die Integration in Active Directory-Zertifikatdienste. Der Dienst stellt dynamisch Zertifikate für Benutzer aus, sodass diese sich bei einer Active Directory-Umgebung so anmelden können, als hätten sie eine Smartcard. Dadurch kann in StoreFront eine größere Bandbreite an Authentifizierungsoptionen, z. B. SAML-Assertionen (Security Assertion Markup Language), verwendet werden. SAML (Security Assertion Markup Language) wird häufig als Alternative für herkömmliche Windows-Benutzerkonten im Internet verwendet.

Hinweis:

Um die SAML-Authentifizierung zu verwenden, müssen Sie den FAS auf dem VDA ordnungsgemäß konfigurieren.

Ab CU3 verwendet der Linux VDA kurze Verbindungen, um Daten an FAS-Server zu übertragen.

Die folgende Abbildung zeigt das Zusammenwirken des FAS mit einer Microsoft-Zertifizierungsstelle und die Bereitstellung entsprechender Dienste für StoreFront sowie VDAs.

FAS-Architektur

Vertrauenswürdige StoreFront-Server kontaktieren den FAS, wenn Benutzer Zugriff auf die Citrix Umgebung anfordern. Der FAS stellt ein Ticket aus, mit dem eine einzelne Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung eine Authentifizierung mit einem Zertifikat für die Sitzung durchführen kann. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung mit dem FAS her und löst das Ticket aus. Nur der FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA muss jeden erforderlichen Signier- und Entschlüsselungsvorgang mit dem Zertifikat an den FAS senden.

Anforderungen

Der FAS wird unter Windows Server 2008 R2 und höher unterstützt.

  • Wir empfehlen die Installation des FAS auf einem Server, der keine anderen Citrix Komponenten enthält.
  • Der Windows-Server benötigt geschützten Zugriff auf ein Registrierungsstellenzertifikat und einen privaten Schlüssel zur automatischen Ausstellung von Zertifikaten für die Domänenbenutzer und auf diese Benutzerzertifikate und privaten Schlüssel.

Citrix Virtual Apps- oder Citrix Virtual Desktops-Site:

  • Die Delivery Controller müssen mindestens in Version 7.9 vorliegen.
  • Der StoreFront-Server muss mindestens in Version 3.6 vorliegen (diese Version ist im ISO-Image für XenApp-/XenDesktop 7.9 enthalten).
  • Die Linux VDAs müssen mindestens in Version 7.18 vorliegen. Vergewissern Sie sich, dass die Verbundauthentifizierungsdienst-Gruppenrichtlinienkonfiguration richtig auf die VDAs angewendet wurde, bevor Sie den Maschinenkatalog gemäß dem Standardverfahren erstellen. Einzelheiten finden Sie in dem Abschnitt Konfigurieren der Gruppenrichtlinie in diesem Artikel.

Informationsquellen:

Konfigurieren von Windows für die Zertifikatanmeldung

Informationen zum Konfigurieren von Windows für die Zertifikatanmeldung finden Sie im Knowledge Center-Artikel CTX206156 in der Datei Smart_card_config_Citrix_Env.pdf (im Folgenden “die PDF-Datei”). Führen Sie die folgenden Schritte gemäß der PDF-Datei aus und berücksichtigen Sie die für jeden Schritt angegebenen Unterschiede oder Ergänzungen. Achten Sie insbesondere auf den zu verwendenden Zielcomputer, z. B. Active Directory (AD), Delivery Controller oder StoreFront.

Einrichten einer Windows-Domäne (in AD)

Installieren von Domänencontrollerrollen

Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Installieren von Domänencontrollerrollen.

Stellen Sie bei der Installation der Active Directory-Zertifikatdienste sicher, dass die folgenden Optionen ausgewählt sind:

Abbildung: Auswahl von Rollendiensten

Abbildung: Einrichten von Active Directory-Zertifikatdiensten

Abbildung des AD CS-Konfigurationsfensters

Öffnen Sie http://localhost/certsrv/ und prüfen Sie, ob die folgende Begrüßungsseite angezeigt wird. Bei korrekter Anzeige wurden die Active Directory-Zertifikatdienste erfolgreich installiert.

Abbildung: Willkommensseite, wenn die AD-Zertifikatdienste erfolgreich installiert wurden

Vorbereiten der Zertifizierungsstelle für die Smartcard-Verwendung

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Vorbereiten der Zertifizierungsstelle für die Verwendung von Smartcards.

Ausstellen eines Domänencontrollerzertifikats

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Ausstellen eines Domänencontrollerzertifikats.

Konfigurieren von Microsoft IIS für HTTPS (in StoreFront)

Konfigurieren von HTTPS in Microsoft IIS

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Konfigurieren von HTTPS in Microsoft IIS.

Nicht in Domänen eingebundene Computer

Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zu nicht in Domänen eingebundenen Computern.

Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle (in AD)

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle.

Installieren des vertrauenswürdigen ZS-Zertifikats in Windows

Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Installieren des vertrauenswürdigen ZS-Zertifikats in Windows.

Konfigurieren von Citrix StoreFront (in StoreFront)

Erstellen des Stores

Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Erstellen des Stores.

Nach der vorherigen IIS-Konfiguration wird für die Basis-URL des gemeinsamen Stores die Einstellung https:// anstelle von http://. Da FAS den Store nicht mit Smartcards teilt, wird ein neuer Store für FAS benötigt. Der FAS des Linux VDA ist mit allen StoreFront-Authentifizierungsmethoden kompatibel. Der FAS-Store kann beispielsweise mit Kennwörtern oder SAML geschützt werden, beide Optionen sind jedoch nicht gleichzeitig anwendbar. Bei Auswahl von SAML wird die StoreFront-URL automatisch an den Identitätsanbieter weitergeleitet, und die Kennwortauthentifizierung wird ignoriert.

Abbildung: Erstellen eines FAS-Stores

Abbildung: Verwalten der Smartcard-Authentifizierungsmethoden

Abbildung: FAS-Store wurde erstellt

Starten Sie Internet Explorer und rufen Sie die URL des FAS-Stores auf (z. B. https://mzgwy-ddc.xd.local/Citrix/FASWeb).

Hinweis: An die URL des FAS-Stores muss Web angefügt sein.

Installieren und Einrichten des FAS

Installation und Einrichtung besteht aus den folgenden Schritten:

  1. Verbundauthentifizierungsdienst installieren
  2. Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf StoreFront-Servern
  3. Konfigurieren der Gruppenrichtlinie
  4. Verwenden Sie die Verwaltungskonsole des Verbundauthentifizierungsdiensts für folgende Aufgaben: (a) Bereitstellen der vorhandenen Vorlagen, (b) Einrichten von Zertifizierungsstellen und (c) Autorisieren des Verbundauthentifizierungsdiensts für die Verwendung der Zertifizierungsstelle.
  5. Konfigurieren von Benutzerregeln

Weitere Anweisungen zu den einzelnen Schritten finden Sie unter Verbundauthentifizierungsdienst. Berücksichtigen Sie die für jeden Schritt angegebenen Unterschiede oder Ergänzungen. Achten Sie insbesondere auf den zu verwendenden Zielcomputer, z. B. Active Directory (AD), Delivery Controller, StoreFront oder FAS-Server.

Installieren des Verbundauthentifizierungsdiensts (auf dem FAS-Server)

Installieren Sie aus Sicherheitsgründen den FAS auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle.

Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf einem StoreFront-Store (in StoreFront)

Verwenden Sie für den folgenden Befehl denselben FAS-Storenamen, den Sie beim Konfigurieren von StoreFront eingegeben haben. In diesem Beispiel ist FAS der Name des Stores:

$StoreVirtualPath = “/Citrix/FAS

Konfigurieren des Delivery Controllers (in Delivery Controller)

Zur Verwendung des Verbundauthentifizierungsdiensts konfigurieren Sie den Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm eine Verbindung herstellen können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus. Manchmal müssen Sie möglicherweise zuerst Add-PSSnapin citrix.* ausführen.

Konfigurieren der Gruppenrichtlinie (auf dem FAS-Server und in AD)

Sie müssen Administrator sein, um die Schritte 1-7 in diesem Abschnitt ausführen zu können. Schritt 1 muss auf dem FAS-Server ausgeführt werden, während die Schritte 2-7 in Active Directory (AD) durchgeführt werden.

Nach Abschluss der Schritte 1-7 überprüfen Sie im Registrierungseditor des FAS-Servers, ob die FAS-Richtlinie festgelegt wurde.

Abbildung: Festlegen der FAS-Richtlinie

Aktivieren der Unterstützung für sitzungsinterne Zertifikate

Der Linux VDA unterstützt keine sitzungsinternen Zertifikate.

Verwendung der FAS-Verwaltungskonsole (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Bereitstellen von Zertifikatvorlagen (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Einrichten von Active Directory-Zertifikatdiensten (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Autorisieren des Verbundauthentifizierungsdiensts (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Konfigurieren von Benutzerregeln (auf dem FAS-Server)

Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.

Weitere Informationen finden Sie auch unter Delegierte Registrierungs-Agents und Konfigurieren der Zugriffssteuerungsliste im Abschnitt Sicherheitsüberlegungen des Artikels Verbundauthentifizierungsdienst.

AD FS-Bereitstellung des Verbundauthentifizierungsdiensts

Weitere Informationen zum Bereitstellen des AD FS-Identitätsanbieters für den Verbundauthentifizierungsdienst finden Sie unter AD FS-Bereitstellung des Verbundauthentifizierungsdiensts.

Konfigurieren des Linux VDA

Einrichten von FAS-Servern

Um den Verbundauthentifizierungsdienst bei einer Neuinstallation von Linux VDA einzurichten, geben Sie den FQDN jedes FAS-Servers ein, wenn Sie beim Ausführen von ctxinstall.sh oder ctxsetup.sh nach CTX_XDL_FAS_LIST gefragt werden. Da der Linux VDA die AD-Gruppenrichtlinie nicht unterstützt, geben Sie stattdessen eine durch Semikolons getrennte Liste mit FAS-Servern an. Wenn eine Serveradresse entfernt wird, füllen Sie die leere Stelle mit der Textzeichenfolge <none> auf und behalten die Reihenfolge der Serveradressen unverändert bei.

Zum Aktualisieren einer vorhandenen Linux VDA-Installation können Sie ctxsetup.sh erneut ausführen, um die FAS-Server einzurichten. Sie können die FAS-Server auch über die folgenden Befehle einrichten. Starten Sie anschließend den ctxvda-Dienst neu, um die Einstellung zu übernehmen.

sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -t "REG_SZ" -v "Addresses" -d "<Your-FAS-Server-List>" --force

service ctxvda restart
<!--NeedCopy-->

Um die FAS-Server über ctxreg zu aktualisieren, führen Sie die folgenden Befehle aus:

sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -v "Addresses" -d "<Your-FAS-Server-List>"

service ctxvda restart
<!--NeedCopy-->

Installieren eines Stammzertifizierungsstellenzertifikats

Für die Überprüfung von Benutzerzertifikaten installieren Sie das Stammzertifizierungsstellenzertifikat auf dem VDA. Rufen Sie das AD-Stammzertifikat aus dem vorherigen Schritt Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle (in AD) ab oder laden Sie es im DER-Format vom Stammzertifizierungsstellenserver http://CA-SERVER/certsrv herunter.

Hinweis:

Die folgenden Befehle gelten auch für die Konfiguration eines Zwischenzertifikats.

Mit diesem oder einem ähnlichen Befehl können Sie eine DER-Datei (.crt, .cer, .der) in PEM konvertieren.

sudo openssl x509 -inform der -in root.cer -out root.pem
<!--NeedCopy-->

Anschließend installieren Sie mit diesem oder einem ähnlichen Befehl das Stammzertifizierungsstellenzertifikat im Verzeichnis openssl:

sudo cp root.pem /etc/pki/CA/certs/
<!--NeedCopy-->

Hinweis:

Speichern Sie das Stammzertifizierungsstellenzertifikat nicht im Verzeichnis /root. Andernfalls besitzt FAS keine Leseberechtigung für das Stammzertifizierungsstellenzertifikat.

Konfigurieren von FAS

Führen Sie das folgende Skript aus, um FAS zu konfigurieren:

sudo /opt/Citrix/VDA/sbin/ctxfascfg.sh
<!--NeedCopy-->

Hinweis:

Das vorrangehende Skript behandelt nur Szenarios mit einem einzelnen Stammzertifizierungsstellenzertifikat.

Wenn es in Ihrer Umgebung Zwischenzertifikate gibt, fügen Sie die Zwischenpfade in /etc/krb5.conf wie folgt hinzu:

[realms]
EXAMPLE.COM = {

pkinit_anchors = FILE:/etc/pki/CA/certs/root.pem
pkinit_pool = FILE:/etc/pki/CA/certs/intermediate.pem

}

Es werden zwei Umgebungsvariablen hinzugefügt, damit ctxfascfg.sh im stillen Modus ausgeführt werden kann:

  • CTX_FAS_ADINTEGRATIONWAY=winbind | sssd | centrify – Die Active Directory-Integrationsmethode; das entspricht CTX_EASYINSTALL_ADINTEGRATIONWAY, wenn CTX_EASYINSTALL_ADINTEGRATIONWAY angegeben wurde. Wenn CTX_EASYINSTALL_ADINTEGRATIONWAY nicht angegeben ist, verwendet CTX_FAS_ADINTEGRATIONWAY die eigene Werteinstellung.

  • CTX_FAS_ROOT_CA_PATH=<root_CA_certificate> — Gibt den vollständigen Pfad zum Stammzertifizierungsstellenzertifikat an.

Wählen Sie die korrekte Active Directory-Integrationsmethode aus und geben Sie den korrekten Pfad zum Stammzertifizierungsstellenzertifikat ein (z. B. /etc/pki/CA/certs/root.pem).

Das Skript installiert die Pakete krb5-pkinit und pam_krb5 und legt die relevanten Konfigurationsdateien fest.

Einschränkung

  • FAS unterstützt eingeschränkte Plattformen und AD-Integrationsmethoden, siehe folgende Tabelle:

      Winbind SSSD Centrify
    RHEL 7.7/CentOS 7.7
    Ubuntu 18.04 ×
    Ubuntu 16.04 ×
    SLES 12.3 ×
  • FAS unterstützt den Sperrbildschirm noch nicht. Wenn Sie in einer Sitzung auf die Sperrschaltfläche klicken, können Sie sich mit FAS nicht erneut bei der Sitzung anmelden.
  • Der Artikel Übersicht über die Architekturen des Verbundauthentifizierungsdiensts enthält eine Übersicht über die gebräuchlichen FAS-Architekturen, die in dieser Version unterstützt werden. Das Einbinden über Azure AD mit Windows 10 ist nicht möglich.

Problembehandlung

Stellen Sie vor einer Problembehandlung des Verbundauthentifizierungsdiensts (FAS) sicher, dass der Linux VDA ordnungsgemäß installiert und konfiguriert ist, sodass Sitzungen ohne FAS-Server erfolgreich im gemeinsamen Store per Kennwortauthentifizierung gestartet werden können.

Wenn Sitzungen ohne FAS-Server fehlerfrei ausgeführt werden, setzen Sie die HDX-Protokollebene der Login-Klasse auf VERBOSE und die VDA-Protokollebene auf TRACE. Informationen zum Aktivieren von Protokollen zur Ablaufverfolgung (Tracing) für Linux VDA finden Sie im Knowledge Center-Artikel CTX220130.

Fehler bei der FAS-Serverkonfiguration

Der Start einer Sitzung über den FAS-Store schlägt fehl. Ein Beispiel sehen Sie im folgenden Screenshot:

Abbildung: Start einer Sitzung über den FAS-Store schlägt fehl

Überprüfen Sie /var/log/xdl/hdx.log und suchen Sie ein Fehlerprotokoll folgender Art:

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: query2fas: failed to retrieve data: No such file or directory.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: sayhello2fas_internal: Failed to query.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: sayhello2fas_convertcredential: exit.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: LoginFasValidate: Failed to start FAS.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: receive_data: LoginFASValidate - parameters check error.

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: receive_data: Exit FAILURE

2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: main: EXITING login process..., FAILURE
<!--NeedCopy-->

Lösung

Stellen Sie mit folgendem Befehl sicher, dass der Citrix Registrierungswert “HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService” auf <Your-FAS-Server-List> festgelegt ist.

sudo /opt/Citrix/VDA/bin/ctxreg dump | grep "UserCredentialService"
<!--NeedCopy-->

Wenn die Einstellung falsch ist, legen Sie sie erneut fest, wie weiter oben im Schritt Einrichten von FAS-Servern beschrieben.

Falsche Konfiguration des Stammzertifizierungsstellenzertifikats

Der Start einer Sitzung über den FAS-Store schlägt fehl. Ein graues Fenster wird für einige Sekunden angezeigt.

Abbildung: Ungültige Anmeldung, weil Konfiguration des Stammzertifizierungsstellenzertifikats nicht richtig ist

Überprüfen Sie /var/log/xdl/hdx.log und suchen Sie ein Fehlerprotokoll folgender Art:

2018-03-27 10:15:52.227 <P9099:S3> citrix-ctxlogin: validate_user: pam_authenticate err,can retry for user user1@CTXFAS.LAB

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: logout_user: closing session and pam transaction

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: validate_user: Exit (user=user1@CTXFAS.LAB)=INVALID_PASSWORD

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: LoginBoxValidate: failed validation of user 'user1@CTXFAS.LAB', INVALID_PASSWORD

2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: Audit_login_failure: Not yet implemented
<!--NeedCopy-->

Lösung

Stellen Sie sicher, dass der vollständige Pfad des Stammzertifizierungsstellenzertifikats korrekt in /etc/krb5.conf festgelegt ist. Der vollständige Pfad ist dem folgenden ähnlich:


 [realms]

EXAMPLE.COM = {

    ......

    pkinit_anchors = FILE:/etc/pki/CA/certs/root.pem

    ......

}  
<!--NeedCopy-->

Wenn die vorhandene Einstellung falsch ist, legen Sie sie erneut fest, wie weiter oben im Schritt Installieren eines Zertifikats der Stammzertifizierungsstelle beschrieben.

Überprüfen Sie auch, ob das Stammzertifizierungsstellenzertifikat gültig ist.

Kontozuordnungsfehler bei Spiegelung

FAS ist für die SAML-Authentifizierung konfiguriert. Der folgende Fehler kann auftreten, wenn ein Benutzer der Active Directory-Verbunddienste (AD FS) den Benutzernamen und das Kennwort auf der AD FS-Anmeldeseite eingibt.

Abbildung: Kontozuordnungsfehler bei Spiegelung

Die Fehlermeldung zeigt an, dass der Benutzer zwar erfolgreich in AD FS verifiziert wurde, aber kein gespiegeltes Konto für den Benutzer in AD konfiguriert ist.

Lösung

Richten Sie das gespiegelte Konto in AD ein.

AD FS nicht konfiguriert

Bei einem Anmeldeversuch beim FAS-Store tritt folgender Fehler auf:

Abbildung: AD FS nicht konfiguriert

Sie wird ausgelöst, weil der FAS-Store für die SAML-Authentifizierung konfiguriert ist und die AD FS-Bereitstellung fehlt.

Lösung

Stellen Sie den AD FS-Identitätsanbieter für den Verbundauthentifizierungsdienst (FAS) bereit. Weitere Informationen finden Sie unter AD FS-Bereitstellung des Verbundauthentifizierungsdiensts.

Verwandte Informationen

Bekanntes Problem

Beim Einsatz von FAS kann der Start einer veröffentlichten Desktop- oder App-Sitzung mit nicht-englischen Zeichen fehlschlagen.

Abbildung: Fehlgeschlagener Sitzungsstart mit nicht-Englisch

Workaround

Klicken Sie im ZS-Tool mit der rechten Maustaste auf Vorlagen verwalten und ändern Sie die Vorlage für Citrix_SmartcardLogon von Aus diesen Informationen in Active Directory erstellen in Informationen werden in der Anforderung angegeben:

Abbildung der Option "Informationen werden in der Anforderung angegeben"

Verbundauthentifizierungsdienst