Verbundauthentifizierungsdienst
Übersicht
Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ist eine privilegierte Komponente für die Integration in Active Directory-Zertifikatdienste. Der Dienst stellt dynamisch Zertifikate für Benutzer aus, sodass diese sich bei einer Active Directory-Umgebung so anmelden können, als hätten sie eine Smartcard. Dadurch kann in StoreFront eine größere Bandbreite an Authentifizierungsoptionen, z. B. SAML-Assertionen (Security Assertion Markup Language), verwendet werden. SAML (Security Assertion Markup Language) wird häufig als Alternative für herkömmliche Windows-Benutzerkonten im Internet verwendet.
Hinweis:
Um die SAML-Authentifizierung zu verwenden, müssen Sie den FAS auf dem VDA ordnungsgemäß konfigurieren.
Ab CU3 verwendet der Linux VDA kurze Verbindungen, um Daten an FAS-Server zu übertragen.
Die folgende Abbildung zeigt das Zusammenwirken des FAS mit einer Microsoft-Zertifizierungsstelle und die Bereitstellung entsprechender Dienste für StoreFront sowie VDAs.
Vertrauenswürdige StoreFront-Server kontaktieren den FAS, wenn Benutzer Zugriff auf die Citrix Umgebung anfordern. Der FAS stellt ein Ticket aus, mit dem eine einzelne Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung eine Authentifizierung mit einem Zertifikat für die Sitzung durchführen kann. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung mit dem FAS her und löst das Ticket aus. Nur der FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA muss jeden erforderlichen Signier- und Entschlüsselungsvorgang mit dem Zertifikat an den FAS senden.
Anforderungen
Der FAS wird unter Windows Server 2008 R2 und höher unterstützt.
- Wir empfehlen die Installation des FAS auf einem Server, der keine anderen Citrix Komponenten enthält.
- Der Windows-Server benötigt geschützten Zugriff auf ein Registrierungsstellenzertifikat und einen privaten Schlüssel zur automatischen Ausstellung von Zertifikaten für die Domänenbenutzer und auf diese Benutzerzertifikate und privaten Schlüssel.
Citrix Virtual Apps- oder Citrix Virtual Desktops-Site:
- Die Delivery Controller müssen mindestens in Version 7.9 vorliegen.
- Der StoreFront-Server muss mindestens in Version 3.6 vorliegen (diese Version ist im ISO-Image für XenApp-/XenDesktop 7.9 enthalten).
- Die Linux VDAs müssen mindestens in Version 7.18 vorliegen. Vergewissern Sie sich, dass die Verbundauthentifizierungsdienst-Gruppenrichtlinienkonfiguration richtig auf die VDAs angewendet wurde, bevor Sie den Maschinenkatalog gemäß dem Standardverfahren erstellen. Einzelheiten finden Sie in dem Abschnitt Konfigurieren der Gruppenrichtlinie in diesem Artikel.
Informationsquellen:
- Active Directory-Zertifikatdienste:
https://social.technet.microsoft.com/wiki/contents/articles/1137.active-directory-certificate-services-ad-cs-introduction.aspx - Konfigurieren von Windows für die Zertifikatanmeldung
http://support.citrix.com/article/CTX206156 - Installieren des Verbundauthentifizierungsdiensts Verbundauthentifizierungsdienst
Konfigurieren von Windows für die Zertifikatanmeldung
Informationen zum Konfigurieren von Windows für die Zertifikatanmeldung finden Sie im Knowledge Center-Artikel CTX206156 in der Datei Smart_card_config_Citrix_Env.pdf (im Folgenden “die PDF-Datei”). Führen Sie die folgenden Schritte gemäß der PDF-Datei aus und berücksichtigen Sie die für jeden Schritt angegebenen Unterschiede oder Ergänzungen. Achten Sie insbesondere auf den zu verwendenden Zielcomputer, z. B. Active Directory (AD), Delivery Controller oder StoreFront.
Einrichten einer Windows-Domäne (in AD)
Installieren von Domänencontrollerrollen
Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Installieren von Domänencontrollerrollen.
Stellen Sie bei der Installation der Active Directory-Zertifikatdienste sicher, dass die folgenden Optionen ausgewählt sind:
Öffnen Sie http://localhost/certsrv/
und prüfen Sie, ob die folgende Begrüßungsseite angezeigt wird. Bei korrekter Anzeige wurden die Active Directory-Zertifikatdienste erfolgreich installiert.
Vorbereiten der Zertifizierungsstelle für die Smartcard-Verwendung
Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Vorbereiten der Zertifizierungsstelle für die Verwendung von Smartcards.
Ausstellen eines Domänencontrollerzertifikats
Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Ausstellen eines Domänencontrollerzertifikats.
Konfigurieren von Microsoft IIS für HTTPS (in StoreFront)
Konfigurieren von HTTPS in Microsoft IIS
Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Konfigurieren von HTTPS in Microsoft IIS.
Nicht in Domänen eingebundene Computer
Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zu nicht in Domänen eingebundenen Computern.
Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle (in AD)
Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle.
Installieren des vertrauenswürdigen ZS-Zertifikats in Windows
Keine Ergänzung. Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Installieren des vertrauenswürdigen ZS-Zertifikats in Windows.
Konfigurieren von Citrix StoreFront (in StoreFront)
Erstellen des Stores
Weitere Informationen finden Sie in der PDF-Datei im Abschnitt zum Erstellen des Stores.
Nach der vorherigen IIS-Konfiguration wird für die Basis-URL des gemeinsamen Stores die Einstellung https://
anstelle von http://
. Da FAS den Store nicht mit Smartcards teilt, wird ein neuer Store für FAS benötigt. Der FAS des Linux VDA ist mit allen StoreFront-Authentifizierungsmethoden kompatibel. Der FAS-Store kann beispielsweise mit Kennwörtern oder SAML geschützt werden, beide Optionen sind jedoch nicht gleichzeitig anwendbar. Bei Auswahl von SAML wird die StoreFront-URL automatisch an den Identitätsanbieter weitergeleitet, und die Kennwortauthentifizierung wird ignoriert.
Starten Sie Internet Explorer und rufen Sie die URL des FAS-Stores auf (z. B. https://mzgwy-ddc.xd.local/Citrix/FASWeb
).
Hinweis: An die URL des FAS-Stores muss Web angefügt sein.
Installieren und Einrichten des FAS
Installation und Einrichtung besteht aus den folgenden Schritten:
- Verbundauthentifizierungsdienst installieren
- Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf StoreFront-Servern
- Konfigurieren der Gruppenrichtlinie
- Verwenden Sie die Verwaltungskonsole des Verbundauthentifizierungsdiensts für folgende Aufgaben: (a) Bereitstellen der vorhandenen Vorlagen, (b) Einrichten von Zertifizierungsstellen und (c) Autorisieren des Verbundauthentifizierungsdiensts für die Verwendung der Zertifizierungsstelle.
- Konfigurieren von Benutzerregeln
Weitere Anweisungen zu den einzelnen Schritten finden Sie unter Verbundauthentifizierungsdienst. Berücksichtigen Sie die für jeden Schritt angegebenen Unterschiede oder Ergänzungen. Achten Sie insbesondere auf den zu verwendenden Zielcomputer, z. B. Active Directory (AD), Delivery Controller, StoreFront oder FAS-Server.
Installieren des Verbundauthentifizierungsdiensts (auf dem FAS-Server)
Installieren Sie aus Sicherheitsgründen den FAS auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle.
Aktivieren des Plug-Ins für den Verbundauthentifizierungsdienst auf einem StoreFront-Store (in StoreFront)
Verwenden Sie für den folgenden Befehl denselben FAS-Storenamen, den Sie beim Konfigurieren von StoreFront eingegeben haben. In diesem Beispiel ist FAS der Name des Stores:
$StoreVirtualPath = “/Citrix/FAS”
Konfigurieren des Delivery Controllers (in Delivery Controller)
Zur Verwendung des Verbundauthentifizierungsdiensts konfigurieren Sie den Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm eine Verbindung herstellen können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus. Manchmal müssen Sie möglicherweise zuerst Add-PSSnapin citrix.*
ausführen.
Konfigurieren der Gruppenrichtlinie (auf dem FAS-Server und in AD)
Sie müssen Administrator sein, um die Schritte 1-7 in diesem Abschnitt ausführen zu können. Schritt 1 muss auf dem FAS-Server ausgeführt werden, während die Schritte 2-7 in Active Directory (AD) durchgeführt werden.
Nach Abschluss der Schritte 1-7 überprüfen Sie im Registrierungseditor des FAS-Servers, ob die FAS-Richtlinie festgelegt wurde.
Aktivieren der Unterstützung für sitzungsinterne Zertifikate
Der Linux VDA unterstützt keine sitzungsinternen Zertifikate.
Verwendung der FAS-Verwaltungskonsole (auf dem FAS-Server)
Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.
Bereitstellen von Zertifikatvorlagen (auf dem FAS-Server)
Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.
Einrichten von Active Directory-Zertifikatdiensten (auf dem FAS-Server)
Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.
Autorisieren des Verbundauthentifizierungsdiensts (auf dem FAS-Server)
Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.
Konfigurieren von Benutzerregeln (auf dem FAS-Server)
Keine Ergänzung. Weitere Informationen finden Sie im Artikel Verbundauthentifizierungsdienst.
Weitere Informationen finden Sie auch unter Delegierte Registrierungs-Agents und Konfigurieren der Zugriffssteuerungsliste im Abschnitt Sicherheitsüberlegungen des Artikels Verbundauthentifizierungsdienst.
AD FS-Bereitstellung des Verbundauthentifizierungsdiensts
Weitere Informationen zum Bereitstellen des AD FS-Identitätsanbieters für den Verbundauthentifizierungsdienst finden Sie unter AD FS-Bereitstellung des Verbundauthentifizierungsdiensts.
Konfigurieren des Linux VDA
Einrichten von FAS-Servern
Um den Verbundauthentifizierungsdienst bei einer Neuinstallation von Linux VDA einzurichten, geben Sie den FQDN jedes FAS-Servers ein, wenn Sie beim Ausführen von ctxinstall.sh oder ctxsetup.sh nach CTX_XDL_FAS_LIST gefragt werden. Da der Linux VDA die AD-Gruppenrichtlinie nicht unterstützt, geben Sie stattdessen eine durch Semikolons getrennte Liste mit FAS-Servern an. Wenn eine Serveradresse entfernt wird, füllen Sie die leere Stelle mit der Textzeichenfolge <none> auf und behalten die Reihenfolge der Serveradressen unverändert bei.
Zum Aktualisieren einer vorhandenen Linux VDA-Installation können Sie ctxsetup.sh erneut ausführen, um die FAS-Server einzurichten. Sie können die FAS-Server auch über die folgenden Befehle einrichten. Starten Sie anschließend den ctxvda
-Dienst neu, um die Einstellung zu übernehmen.
sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -t "REG_SZ" -v "Addresses" -d "<Your-FAS-Server-List>" --force
service ctxvda restart
<!--NeedCopy-->
Um die FAS-Server über ctxreg
zu aktualisieren, führen Sie die folgenden Befehle aus:
sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -v "Addresses" -d "<Your-FAS-Server-List>"
service ctxvda restart
<!--NeedCopy-->
Installieren eines Stammzertifizierungsstellenzertifikats
Für die Überprüfung von Benutzerzertifikaten installieren Sie das Stammzertifizierungsstellenzertifikat auf dem VDA. Rufen Sie das AD-Stammzertifikat aus dem vorherigen Schritt Abrufen des ZS-Zertifikats von der Microsoft-Zertifizierungsstelle (in AD) ab oder laden Sie es im DER-Format vom Stammzertifizierungsstellenserver http://CA-SERVER/certsrv
herunter.
Hinweis:
Die folgenden Befehle gelten auch für die Konfiguration eines Zwischenzertifikats.
Mit diesem oder einem ähnlichen Befehl können Sie eine DER-Datei (.crt, .cer, .der) in PEM konvertieren.
sudo openssl x509 -inform der -in root.cer -out root.pem
<!--NeedCopy-->
Anschließend installieren Sie mit diesem oder einem ähnlichen Befehl das Stammzertifizierungsstellenzertifikat im Verzeichnis openssl:
sudo cp root.pem /etc/pki/CA/certs/
<!--NeedCopy-->
Hinweis:
Speichern Sie das Stammzertifizierungsstellenzertifikat nicht im Verzeichnis /root. Andernfalls besitzt FAS keine Leseberechtigung für das Stammzertifizierungsstellenzertifikat.
Konfigurieren von FAS
Führen Sie das folgende Skript aus, um FAS zu konfigurieren:
sudo /opt/Citrix/VDA/sbin/ctxfascfg.sh
<!--NeedCopy-->
Hinweis:
Das vorrangehende Skript behandelt nur Szenarios mit einem einzelnen Stammzertifizierungsstellenzertifikat.
Wenn es in Ihrer Umgebung Zwischenzertifikate gibt, fügen Sie die Zwischenpfade in /etc/krb5.conf wie folgt hinzu:
[realms]
EXAMPLE.COM = {
…
pkinit_anchors = FILE:/etc/pki/CA/certs/root.pem
pkinit_pool = FILE:/etc/pki/CA/certs/intermediate.pem
…
}
Es werden zwei Umgebungsvariablen hinzugefügt, damit ctxfascfg.sh
im stillen Modus ausgeführt werden kann:
-
CTX_FAS_ADINTEGRATIONWAY=winbind | sssd | centrify – Die Active Directory-Integrationsmethode; das entspricht
CTX_EASYINSTALL_ADINTEGRATIONWAY
, wennCTX_EASYINSTALL_ADINTEGRATIONWAY
angegeben wurde. WennCTX_EASYINSTALL_ADINTEGRATIONWAY
nicht angegeben ist, verwendetCTX_FAS_ADINTEGRATIONWAY
die eigene Werteinstellung. -
CTX_FAS_ROOT_CA_PATH=<root_CA_certificate> — Gibt den vollständigen Pfad zum Stammzertifizierungsstellenzertifikat an.
Wählen Sie die korrekte Active Directory-Integrationsmethode aus und geben Sie den korrekten Pfad zum Stammzertifizierungsstellenzertifikat ein (z. B. /etc/pki/CA/certs/root.pem
).
Das Skript installiert die Pakete krb5-pkinit und pam_krb5 und legt die relevanten Konfigurationsdateien fest.
Einschränkung
-
FAS unterstützt eingeschränkte Plattformen und AD-Integrationsmethoden, siehe folgende Tabelle:
Winbind SSSD Centrify RHEL 7.7/CentOS 7.7 √ √ √ Ubuntu 18.04 √ × √ Ubuntu 16.04 √ × √ SLES 12.3 √ × √ - FAS unterstützt den Sperrbildschirm noch nicht. Wenn Sie in einer Sitzung auf die Sperrschaltfläche klicken, können Sie sich mit FAS nicht erneut bei der Sitzung anmelden.
- Der Artikel Übersicht über die Architekturen des Verbundauthentifizierungsdiensts enthält eine Übersicht über die gebräuchlichen FAS-Architekturen, die in dieser Version unterstützt werden. Das Einbinden über Azure AD mit Windows 10 ist nicht möglich.
Problembehandlung
Stellen Sie vor einer Problembehandlung des Verbundauthentifizierungsdiensts (FAS) sicher, dass der Linux VDA ordnungsgemäß installiert und konfiguriert ist, sodass Sitzungen ohne FAS-Server erfolgreich im gemeinsamen Store per Kennwortauthentifizierung gestartet werden können.
Wenn Sitzungen ohne FAS-Server fehlerfrei ausgeführt werden, setzen Sie die HDX-Protokollebene der Login-Klasse auf VERBOSE und die VDA-Protokollebene auf TRACE. Informationen zum Aktivieren von Protokollen zur Ablaufverfolgung (Tracing) für Linux VDA finden Sie im Knowledge Center-Artikel CTX220130.
Fehler bei der FAS-Serverkonfiguration
Der Start einer Sitzung über den FAS-Store schlägt fehl. Ein Beispiel sehen Sie im folgenden Screenshot:
Überprüfen Sie /var/log/xdl/hdx.log und suchen Sie ein Fehlerprotokoll folgender Art:
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: query2fas: failed to retrieve data: No such file or directory.
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: sayhello2fas_internal: Failed to query.
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: sayhello2fas_convertcredential: exit.
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: LoginFasValidate: Failed to start FAS.
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: receive_data: LoginFASValidate - parameters check error.
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: receive_data: Exit FAILURE
2018-03-27 10:17:56.722 <P10122:S2> citrix-ctxlogin: main: EXITING login process..., FAILURE
<!--NeedCopy-->
Lösung
Stellen Sie mit folgendem Befehl sicher, dass der Citrix Registrierungswert “HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService” auf <Your-FAS-Server-List> festgelegt ist.
sudo /opt/Citrix/VDA/bin/ctxreg dump | grep "UserCredentialService"
<!--NeedCopy-->
Wenn die Einstellung falsch ist, legen Sie sie erneut fest, wie weiter oben im Schritt Einrichten von FAS-Servern beschrieben.
Falsche Konfiguration des Stammzertifizierungsstellenzertifikats
Der Start einer Sitzung über den FAS-Store schlägt fehl. Ein graues Fenster wird für einige Sekunden angezeigt.
Überprüfen Sie /var/log/xdl/hdx.log und suchen Sie ein Fehlerprotokoll folgender Art:
2018-03-27 10:15:52.227 <P9099:S3> citrix-ctxlogin: validate_user: pam_authenticate err,can retry for user user1@CTXFAS.LAB
2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: logout_user: closing session and pam transaction
2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: validate_user: Exit (user=user1@CTXFAS.LAB)=INVALID_PASSWORD
2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: LoginBoxValidate: failed validation of user 'user1@CTXFAS.LAB', INVALID_PASSWORD
2018-03-27 10:15:52.228 <P9099:S3> citrix-ctxlogin: Audit_login_failure: Not yet implemented
<!--NeedCopy-->
Lösung
Stellen Sie sicher, dass der vollständige Pfad des Stammzertifizierungsstellenzertifikats korrekt in /etc/krb5.conf festgelegt ist. Der vollständige Pfad ist dem folgenden ähnlich:
[realms]
EXAMPLE.COM = {
......
pkinit_anchors = FILE:/etc/pki/CA/certs/root.pem
......
}
<!--NeedCopy-->
Wenn die vorhandene Einstellung falsch ist, legen Sie sie erneut fest, wie weiter oben im Schritt Installieren eines Zertifikats der Stammzertifizierungsstelle beschrieben.
Überprüfen Sie auch, ob das Stammzertifizierungsstellenzertifikat gültig ist.
Kontozuordnungsfehler bei Spiegelung
FAS ist für die SAML-Authentifizierung konfiguriert. Der folgende Fehler kann auftreten, wenn ein Benutzer der Active Directory-Verbunddienste (AD FS) den Benutzernamen und das Kennwort auf der AD FS-Anmeldeseite eingibt.
Die Fehlermeldung zeigt an, dass der Benutzer zwar erfolgreich in AD FS verifiziert wurde, aber kein gespiegeltes Konto für den Benutzer in AD konfiguriert ist.
Lösung
Richten Sie das gespiegelte Konto in AD ein.
AD FS nicht konfiguriert
Bei einem Anmeldeversuch beim FAS-Store tritt folgender Fehler auf:
Sie wird ausgelöst, weil der FAS-Store für die SAML-Authentifizierung konfiguriert ist und die AD FS-Bereitstellung fehlt.
Lösung
Stellen Sie den AD FS-Identitätsanbieter für den Verbundauthentifizierungsdienst (FAS) bereit. Weitere Informationen finden Sie unter AD FS-Bereitstellung des Verbundauthentifizierungsdiensts.
Verwandte Informationen
- Der Artikel Übersicht über die Architekturen des Verbundauthentifizierungsdiensts enthält eine Übersicht über die gebräuchlichen FAS-Architekturen.
- Artikel mit Anleitungen finden Sie unter Erweiterte Konfiguration des Verbundauthentifizierungsdiensts.
Bekanntes Problem
Beim Einsatz von FAS kann der Start einer veröffentlichten Desktop- oder App-Sitzung mit nicht-englischen Zeichen fehlschlagen.
Workaround
Klicken Sie im ZS-Tool mit der rechten Maustaste auf Vorlagen verwalten und ändern Sie die Vorlage für Citrix_SmartcardLogon von Aus diesen Informationen in Active Directory erstellen in Informationen werden in der Anforderung angegeben: