Instalación y configuración
Secuencia de instalación y configuración
- Instalar el Servicio de autenticación federada (FAS)
- Habilitar el plug-in de FAS en servidores de StoreFront
- Configurar la directiva de grupo
- Use la consola de administración de FAS para: (a) Implementar las plantillas suministradas, (b) Configurar entidades de certificación y (c) Autorizar FAS a usar su entidad de certificación.
- Configurar reglas de usuario
Instalar el Servicio de autenticación federada
Por motivos de seguridad, Citrix recomienda que el servicio de autenticación federada (FAS) esté instalado en un servidor dedicado que sea seguro, y esté protegido del mismo modo que un controlador de dominio o una entidad de certificación. FAS se puede instalar con el botón Servicio de autenticación federada en la pantalla de presentación que se autoejecuta cuando se abre la imagen ISO.
Se instalarán los siguientes componentes:
- Servicio de autenticación federada
- Cmdlets del complemento de PowerShell para configurar FAS de forma remota
- Consola de administración de FAS
- Plantillas de directiva de grupo de FAS (CitrixFederatedAuthenticationService.admx/adml)
- Archivos de plantilla de certificado para una configuración simple de las entidades de certificación
- Contadores de rendimiento y registros de eventos
Habilitar el plug-in de FAS en servidores de StoreFront
Para habilitar la integración de FAS en un almacén de StoreFront, ejecute los siguientes cmdlets de PowerShell con una cuenta de administrador. Si tiene más de un almacén, o si el almacén tiene otro nombre, la ruta indicada aquí puede ser distinta de la suya.
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
Para dejar de usar FAS, utilice el siguiente script de PowerShell:
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Configurar el Delivery Controller
Para usar FAS, configure el Delivery Controller de Citrix Virtual Apps o Citrix Virtual Desktops para que confíe en los servidores de StoreFront que pueden conectarse a él: Ejecute el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
Configurar la directiva de grupo
Después de instalar FAS, se deben especificar las direcciones DNS completas de los servidores del servicio FAS en Directiva de grupo mediante las plantillas de directiva de grupo suministradas en la instalación.
Importante:
Compruebe que los servidores de StoreFront que solicitan tíquets y los agentes Virtual Delivery Agent (VDA) que canjean los tíquets tienen una configuración idéntica de direcciones DNS, incluida la numeración automática de los servidores que aplica el objeto de directiva de grupo.
Para simplificar la tarea, los siguientes ejemplos configuran una sola directiva en el nivel de dominio que se aplica a todas las máquinas; sin embargo, esto no es necesario. FAS funcionará siempre que los servidores de StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de direcciones DNS. Tenga en cuenta que el objeto de directiva de grupo agrega un número de índice a cada entrada, que también debe coincidir cuando se usan varios objetos.
Paso 1. En el servidor donde instaló FAS, busque los archivos C:\Archivos de programa\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.
Paso 2. Cópielos en el controlador de dominio y colóquelos en la unidad C:\Windows\PolicyDefinitions y en la subcarpeta en-US.
Paso 3. Ejecute Microsoft Management Console (mmc.exe desde la línea de comandos). En la barra de menús, seleccione Archivo > Agregar o quitar complemento. Agregue el Editor de administración de directivas de grupo.
Cuando se le solicite un objeto de directiva de grupo, seleccione Examinar y, a continuación, seleccione Directiva predeterminada de dominio. De forma alternativa, puede crear y seleccionar un objeto de directiva adecuado para el entorno, mediante las herramientas de su elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores de StoreFront, herramientas de administración).
Paso 4. Vaya a la directiva de Servicio de autenticación federada (Federated Authentication Service) en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.
Nota:
La configuración de directiva del Servicio de autenticación federada solo está disponible en el GPO del dominio cuando agrega el archivo de plantilla CitrixBase.admx o CitrixBase.adml a la carpeta PolicyDefinitions. Una vez agregada, la configuración de directiva del Servicio de autenticación federada aparece en la carpeta Plantillas administrativas > Componentes Citrix > Autenticación.
Paso 5. Abra la directiva Federated Authentication Service y seleccione Habilitada. Esto le permite seleccionar el botón Mostrar con el que puede configurar las direcciones DNS de servidores del servicio FAS.
Paso 6. Introduzca los nombres de dominio completos (FQDN) de los servidores que alojan FAS.
Recuerde: Si escribe varios nombres FQDN, el orden de la lista debe ser coherente entre los servidores de StoreFront y los VDA. Esto incluye las entradas en blanco y las entradas de no utilizadas de la lista.
Paso 7. Haga clic en Aceptar para salir del asistente de directivas de grupo y aplicar los cambios de la directiva de grupo. Es posible que tenga que reiniciar las máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.
Compatibilidad con certificados en la sesión y desconexión por bloqueo
Funcionalidad de certificados en la sesión
De forma predeterminada, los VDA no permiten el acceso a los certificados después de iniciar la sesión. Si es necesario, puede utilizar la plantilla de directivas de grupo con el fin de configurar el sistema para certificados en la sesión. Esto coloca los certificados en el almacén de certificados personal del usuario después del inicio de sesión para el uso de aplicaciones. Por ejemplo, si necesita usar autenticación TLS en los servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado.
Desconexión por bloqueo
Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando este bloquea la pantalla. Esta funcionalidad ofrece un comportamiento similar al de la directiva de “desconexión por extracción de tarjeta inteligente” y es útil en situaciones en las que los usuarios no tienen credenciales de inicio de sesión de Active Directory.
Nota:
La directiva de desconexión por bloqueo se aplica a todas las sesiones del VDA.
Usar la consola de administración de los Servicios de autenticación federada
La consola de administración de FAS se instala como parte de FAS. Se coloca el icono Citrix Federated Authentication Service en el menú Inicio.
La primera vez que se utiliza la consola de administración, se le guiará a través de un proceso que implementa las plantillas de certificado, establece la entidad de certificación y autoriza a FAS para usar la entidad de certificación. Algunos de los pasos pueden completarse manualmente mediante herramientas de configuración del sistema operativo.
Implementar plantillas de certificado
Para evitar problemas de interoperabilidad con otros programas de software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
Estas plantillas deben registrarse en Active Directory. Si la consola no puede encontrarlas, se pueden instalar con la herramienta Implementar plantillas de certificado. Esta herramienta debe ejecutarse con una cuenta que tenga permisos para administrar el bosque de AD de su empresa.
La configuración de las plantillas se encuentra en los archivos XML con la extensión .certificatetemplate. Estos archivos se instalan con FAS en:
C:\Archivos de programa\Citrix\Federated Authentication Service\CertificateTemplates
Si no dispone de permiso para instalar estos archivos de plantilla, déselas al administrador de Active Directory.
Para instalar manualmente las plantillas, pueden usar los siguientes comandos de PowerShell:
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->
Configurar los Servicios de certificados de Active Directory
Después de instalar las plantillas de certificado de Citrix, deben publicarse en uno o varios servidores de entidad de certificación de Microsoft. Consulte la documentación de Microsoft acerca de cómo implementar Servicios de certificados de Active Directory.
Si las plantillas no se publican en, al menos, un servidor, la herramienta Setup certificate authority solicita publicarlas. Debe ejecutar esta herramienta como un usuario que tenga permisos para administrar la entidad de certificación.
(También se pueden publicar plantillas de certificado mediante la consola de Entidad de certificación de Microsoft.)
Autorizar el Servicio de autenticación federada
Este paso inicia la autorización de FAS. La consola de administración utiliza la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, lo envía a una de las entidades de certificación que publican esa plantilla.
Después de enviarse la solicitud, aparecerá en la lista de Solicitudes pendientes de la consola de la entidad de certificación de Microsoft. El administrador de la entidad de certificación debe elegir entre Emitir o Rechazar la solicitud antes de que la configuración de FAS pueda continuar. Tenga en cuenta que la solicitud de autorización se muestra como una Solicitud pendiente desde la cuenta de equipo de FAS.
Haga clic con el botón secundario en Todas las tareas y, a continuación, seleccione Emitir o Rechazar la solicitud de certificado. La consola de administración de FAS detecta automáticamente cuando se completa el proceso. Esto puede tardar unos minutos.
Configurar reglas de usuario
Una regla de usuario autoriza la emisión de certificados para el inicio de sesión en los VDA y uso dentro de sesiones, según lo indique StoreFront. Cada regla especifica los servidores de StoreFront que son de confianza para solicitar certificados, el conjunto de usuarios para los que pueden ser solicitados y el conjunto de máquinas VDA a las que se les permite usarlos.
Para completar la configuración de FAS, debe definir la regla predeterminada. Haga clic en Crear para crear una regla o vaya a la ficha “Reglas” y haga clic en Crear regla. El asistente recopila la información necesaria para definir una regla.
El asistente recopila la siguiente información:
Template: La plantilla de certificado que se utiliza para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon, o una copia modificada de la misma.
Certificate Authority: La entidad de certificación que emite los certificados de usuario. La entidad de certificación es la que debe publicar la plantilla. FAS admite varias entidades de certificación para la conmutación por error y el equilibrio de carga.
In-Session Use: La opción Allow in-session use controla si se puede utilizar un certificado después de iniciar sesión en el VDA. Seleccione esta opción solo si quiere que los usuarios tengan acceso al certificado después de la autenticación. Si esta opción no está seleccionada, el certificado se usará solamente para iniciar sesión o reconectarse, y el usuario no tendrá acceso al certificado después de autenticarse.
Access control: La lista de máquinas de servidor de StoreFront de confianza que están autorizadas para solicitar certificados para el inicio de sesión o la reconexión de usuarios.
Importante:
Tenga en cuenta que el parámetro Access control es fundamental para la seguridad y es necesario configurarlo cuidadosamente.
Restrictions: La lista de máquinas VDA que pueden iniciar sesión para los usuarios mediante FAS y la lista de usuarios a los que se pueden emitir certificados a través de FAS. La lista de VDA incluye de forma predeterminada los Equipos del dominio y la lista de usuario incluye de forma predeterminada los Usuarios del dominio, pero esto puede cambiarse si estos valores predeterminados no son los adecuados.
Cloud rule: Actualmente no disponible.
Uso avanzado
Puede crear reglas adicionales para hacer referencia a otras plantillas de certificado y entidades de certificación, que pueden haberse configurado con propiedades y permisos diferentes. Estas reglas se pueden configurar para ser utilizadas por distintos servidores de StoreFront, que a su vez deberán configurarse para solicitar la nueva regla por su nombre. De forma predeterminada, StoreFront solicita la regla predeterminada default al contactar con FAS. Esto se puede cambiar mediante las opciones de configuración de la directiva de grupo.
Para crear una nueva plantilla de certificado, cree un duplicado de la plantilla Citrix_SmartcardLogon en la consola de la entidad de certificación de Microsoft, cámbiele el nombre (por ejemplo, Citrix_SmartcardLogon2) y modifíquela según sea necesario. Cree una nueva regla, haciendo clic en Add para que haga referencia a la nueva plantilla de certificado.
Consideraciones sobre la actualización
- Todos los parámetros de servidor de FAS se conservan cuando se realiza una actualización en contexto.
- Actualice FAS mediante el instalador de producto completo de Virtual Apps and Desktops.
- Antes de actualizar FAS, actualice el Controller y los VDA (y otros componentes principales) a la versión requerida.
- Compruebe que la consola de administración de FAS esté cerrada antes de actualizar FAS.
- Al menos un servidor de FAS debe estar disponible en todo momento. Si un servidor de StoreFront habilitado para el Servicio de autenticación federada no puede establecer contacto con ningún servidor, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.
Consideraciones sobre seguridad
FAS tiene un certificado de autorización de registro que le permite emitir certificados de forma autónoma en nombre de los usuarios de dominio. Como consecuencia, es muy importante desarrollar e implementar una directiva de seguridad para proteger los servidores de FAS y restringir sus permisos.
Agentes de inscripción delegada
El servicio FAS emite certificados de usuario y, así, actúa como agente de inscripción. La entidad de certificación de Microsoft permite controlar qué plantillas puede usar el servidor del servicio FAS, así como limitar para qué usuarios puede emitir certificados dicho servidor.
Citrix recomienda configurar estas opciones de modo que FAS solo pueda emitir certificados para los usuarios apropiados. Por ejemplo, se recomienda impedir que FAS emita certificados para los usuarios incluidos en un grupo de administración o de usuarios protegidos.
Configurar una lista de control de acceso
Como se describe en la sección Configurar reglas de usuario, debe configurar una lista de servidores de StoreFront con la confianza necesaria para la aserción de identidades de usuario de cara a FAS cuando se emiten certificados. Del mismo modo, puede restringir para qué usuarios se pueden emitir certificados y en qué máquinas VDA se pueden autenticar. Esto es adicional a las funciones de seguridad estándar de la entidad de certificación o de Active Directory.
Parámetros de firewall
Todas las comunicaciones con los servidores de FAS usan conexiones de red de Windows Communication Foundation (WCF) a través del puerto 80 mediante autenticación mutua con Kerberos.
Supervisar el registro de eventos
FAS y el VDA escriben información en el registro de eventos de Windows. Esto se puede utilizar para ver información de supervisión y auditoría. En la sección Registros de eventos, se ofrece una lista de las entradas del Registro de eventos que pueden generarse.
Módulo de seguridad de hardware
Todas las claves privadas, incluidas las de los certificados de usuario emitidos por FAS, se almacenan como claves privadas no exportables con la cuenta de Servicio de red. FAS admite el uso de un módulo de seguridad de hardware de cifrado, si su directiva de seguridad así lo requiere.
La configuración criptográfica de bajo nivel está disponible en el archivo FederatedAuthenticationService.exe.config. Estos parámetros se aplican cuando las claves privadas se crean por primera vez. Por lo tanto, se pueden usar parámetros diferentes para las claves privadas de autoridad de registro (por ejemplo, 4096 bits, protegido por TPM) y de los certificados de usuario en tiempo de ejecución.
Parámetro | Descripción |
---|---|
ProviderLegacyCsp | Cuando tiene el valor True, FAS usará CryptoAPI (CAPI) de Microsoft. De lo contrario, FAS usará la API Cryptography Next Generation (CNG) de Microsoft. |
ProviderName | Nombre del proveedor de CAPI o CNG que se va a usar. |
ProviderType | Se refiere a Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Debe ser siempre 24 a menos que esté usando un HSM con CAPI y el proveedor de HSM especifique otra cosa. |
KeyProtection | Controla la marca “Exportable” de las claves privadas. También permite el uso del almacenamiento de claves TPM (Trusted Platform Module), si lo admite el hardware. |
KeyLength | Longitud de clave para las claves privadas de RSA. Los valores admitidos son 1024, 2048 y 4096 (predeterminado: 2048). |
SDK de PowerShell
Aunque la consola de administración de FAS es adecuada para implementaciones simples, la interfaz de PowerShell ofrece opciones más avanzadas. Cuando use opciones que no estén disponibles en la consola, Citrix recomienda utilizar solo PowerShell para la configuración.
El siguiente comando agrega los cmdlets de PowerShell:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Use Get-Help <nombre del cmdlet> para ver la ayuda de uso de los cmdlet. La siguiente tabla muestra algunos comandos donde * representa un verbo estándar de PowerShell (tales como New, Get, Set, Remove).
Comandos | Información general |
---|---|
*-FasServer | Muestra y reconfigura los servidores del servicio FAS en el entorno actual. |
*-FasAuthorizationCertificate | Administra el certificado de autoridad de registro. |
*-FasCertificateDefinition | Controla los parámetros que usa FAS para generar certificados. |
*-FasRule | Administra las reglas de usuario configuradas en FAS. |
*-FasUserCertificate | Ofrece una lista y administra los certificados que FAS almacena en caché. |
Se pueden usar cmdlets de PowerShell de forma remota especificando la dirección de un servidor del servicio FAS.
Para obtener información sobre los cmdlets de PowerShell de FAS, consulte Cmdlets de PowerShell.
Contadores de rendimiento
FAS incluye un conjunto de contadores de rendimiento para el rastreo de la carga.
En la siguiente tabla se muestran los contadores disponibles. La mayoría de estos contadores muestran la media calculada cada cinco minutos.
Name | Descripción |
---|---|
Sesiones activas | Cantidad de conexiones que rastrea FAS. |
Concurrent CSRs (Solicitudes de firma de certificado simultáneas) | Cantidad de solicitudes de certificado procesadas al mismo tiempo. |
Private Key ops (Operaciones de clave privada) | Cantidad de operaciones de clave privada realizadas por minuto. |
Request time (Tiempo de la solicitud) | Tiempo tomado para generar y firmar un certificado. |
Certificate Count (Recuento de certificados) | Cantidad de certificados que se almacenan en caché en FAS. |
CSR per minute (CSR por minuto) | Cantidad de solicitudes de firma de certificado procesadas por minuto. |
Low/Medium/High (Baja, media o alta) | Estimaciones de la carga que FAS puede aceptar en las solicitudes de certificado (CSR) por minuto. Si se supera el umbral “Carga alta”, el lanzamiento de sesiones puede fallar. |
Registros de eventos
Las siguientes tablas contienen las entradas de registro de eventos generadas por FAS.
Eventos de administración [Servicio de autenticación federada]
[Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
Estos eventos se registran como respuesta a un cambio de configuración en el servidor de FAS.
Códigos de registros |
---|
[S001] ACCESS DENIED: User [{0}] is not a member of Administrators group |
[S002] ACCESS DENIED: User [{0}] is not an Administrator of Role [{1}] |
[S003] Administrator [{0}] setting Maintenance Mode to [{1}] |
[S004] Administrator [{0}] enrolling with CA [{1}] templates [{2} and {3}] |
[S005] Administrator [{0}] de-authorizing CA [{1}] |
[S006] Administrator [{0}] creating new Certificate Definition [{1}] |
[S007] Administrator [{0}] updating Certificate Definition [{1}] |
[S008] Administrator [{0}] deleting Certificate Definition [{1}] |
[S009] Administrator [{0}] creating new Role [{1}] |
[S010] Administrator [{0}] updating Role [{1}] |
[S011] Administrator [{0}] deleting Role [{1}] |
[S012] Administrator [{0}] creating certificate [upn: {1} sid: {2} role: {3} Certificate Definition: {4} Security Context: {5}] |
[S013] Administrator [{0}] deleting certificates [upn: {1} role: {2} Certificate Definition: {3} Security Context: {4}] |
[S015] Administrator [{0}] creating certificate request [TPM: {1}] |
[S016] Administrator [{0}] importing Authorization certificate [Reference: {1}] |
Códigos de registros |
---|
[S401] Performing configuration upgrade – [From version {0} to version {1}] |
[S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [currently running as: {0}] |
[S404] Forcefully erasing the Citrix Federated Authentication Service database |
[S405] An error occured while migrating data from the registry to the database: [{0}] |
[S406] Migration of data from registry to database is complete (note: user certificates are not migrated) |
[S407] Registry-based data was not migrated to a database since a database already existed |
[S408] Cannot downgrade the configuration – [From version {0} to version {1}] |
[S409] ThreadPool MinThreads adjusted from [workers: {0} completion: {1}] to: [workers: {2} completion: {3}] |
[S410] Failed to adjust ThreadPool MinThreads from [workers: {0} completion: {1}] to: [workers: {2} completion: {3}] |
Creación de aserciones de identidad [Servicio de autenticación federada]
[Origen del evento: Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
Estos eventos se registran en tiempo de ejecución en el servidor de FAS cuando un servidor de confianza declara un inicio de sesión de usuario.
Códigos de registros |
---|
[S101] Server [{0}] is not authorized to assert identities in role [{1}] |
[S102] Server [{0}] failed to assert UPN [{1}] (Exception: {2}{3}) |
[S103] Server [{0}] requested UPN [{1}] SID {2}, but lookup returned SID {3} |
[S104] Server [{0}] failed to assert UPN [{1}] (UPN not allowed by role [{2}]) |
[S105] Server [{0}] issued identity assertion [upn: {1}, role {2}, Security Context: [{3}]] |
[S120] Issuing certificate to [upn: {0} role: {1} Security Context: [{2}]] |
[S121] Certificate issued to [upn: {0} role: {1}] by [certifcate authority: {2}] |
[S122] Warning: Server is overloaded [upn: {0} role: {1}][Requests per minute {2}]. |
[S123] Failed to issue a certificate for [upn: {0} role: {1}] [exception: {2}] |
[S124] Failed to issue a certificate for [upn: {0} role: {1}] at [certifcate authority: {2}] [exception: {3}] |
Actuando como usuario de confianza [Servicio de autenticación federada]
[Origen del evento: Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
Estos sucesos se registran durante el tiempo de ejecución en el servidor de FAS cuando un VDA inicia la sesión de un usuario.
Códigos de registros |
---|
[S201] Relying party [{0}] does not have access to a password. |
[S202] Relying party [{0}] does not have access to a certificate. |
[S203] Relying party [{0}] does not have access to the Logon CSP |
[S204] Relying party [{0}] accessing the Logon CSP for [upn: {1}] in role: [{2}] [Operation: {3}] as authorized by [{4}] |
[S205] Calling account [{0}] is not a relying party in role [{1}] |
[S206] Calling account [{0}] is not a relying party |
[S208] Private Key operation failed [Operation: {0} upn: {1} role: {2} certificateDefinition {3} Error {4} {5}]. |
Servidor de certificados de sesión [Servicio de autenticación federada]
[Origen del evento: Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
Estos sucesos se registran en el servidor de FAS cuando un usuario utiliza un certificado de sesión.
Códigos de registros |
---|
[S301] Access Denied: User [{0}] does not have access to a Virtual Smart Card |
[S302] User [{0}] requested unknown Virtual Smart Card [thumbprint: {1}] |
[S303] Access Denied: User [{0}] does not match Virtual Smart Card [upn: {1}] |
[S304] User [{0}] running program [{1}] on computer [{2}] using Virtual Smart Card [upn: {3} role: {4} thumbprint: {5}] for private key operation [{6}] |
[S305] Private Key operation failed [Operation: {0} upn: {1} role: {2} containerName {3} Error {4} {5}]. |
Plug-in de aserción de FAS [Servicio de autenticación federada]
[Origen del evento: Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
El plug-in de la aserción de FAS registra estos eventos.
Códigos de registros |
---|
[S500] No FAS assertion plugin is configured |
[S501] The configured FAS assertion plugin could not be loaded [exception:{0}] |
[S502] FAS assertion plugin loaded [pluginId={0}] [assembly={1}] [location={2}] |
[S503] Server [{0}] failed to assert UPN [{1}] (logon evidence was supplied but the plugin [{2}] does not support it) |
[S504] Server [{0}] failed to assert UPN [{1}] (logon evidence was supplied but there is no configured FAS plugin) |
[S505] Server [{0}] failed to assert UPN [{1}] (the plugin [{2}] rejected the logon evidence with status [{3}] and message [{4}]) |
[S506] The plugin [{0}] accepted logon evidence from server [{1}] for UPN [{2}] with message [{3}] |
[S507] Server [{0}] failed to assert UPN [{1}] (the plugin [{2}] threw exception [{3}]) |
[S507] Server [{0}] failed to assert UPN [{1}] (the plugin [{2}] threw exception [{3}]) |
[S508] Server [{0}] failed to assert UPN [{1}] (access disposition was supplied but the plugin [{2}] does not support it) |
[S509] Server [{0}] failed to assert UPN [{1}] (access disposition was supplied but there is no configured FAS plugin) |
[S510] Server [{0}] failed to assert UPN [{1}] (the access disposition was deemed invalid by plugin [{2}] |
Inicio de sesión [VDA]
[Origen del evento: Citrix.Authentication.IdentityAssertion]
Estos sucesos se registran en el VDA durante la fase de inicio de sesión.
Códigos de registros |
---|
[S101] Identity Assertion Logon failed. Unrecognised Federated Authentication Service [id: {0}] |
[S102] Identity Assertion Logon failed. Could not lookup SID for {0} [Exception: {1}{2}] |
[S103] Identity Assertion Logon failed. User {0} has SID {1}, expected SID {2} |
[S104] Identity Assertion Logon failed. Failed to connect to Federated Authentication Service: {0} [Error: {1} {2}] |
[S105] Identity Assertion Logon. Logging in [Username: {0} Domain: {1}] |
[S106] Identity Assertion Logon. Logging in [Certificate: {0}] |
[S107] Identity Assertion Logon failed. [Exception: {0}{1}] |
[S108] Identity Assertion Subsystem. ACCESS_DENIED [Caller: {0}] |
Certificados de sesión [VDA]
[Origen del evento: Citrix.Authentication.IdentityAssertion]
Estos sucesos se registran en el VDA cuando un usuario intenta usar un certificado de sesión.
Códigos de registros |
---|
[S201] Virtual smart card access authorized by [{0}] for [PID: {1} Program Name: {2} Certificate thumbprint: {3}] |
[S203] Virtual Smart Card Subsystem. Access Denied [caller: {0}, session {1}] |
[S204] Virtual Smart Card Subsystem. Smart card support disabled |
Generación de pares de claves y solicitudes de certificados [Servicio de autenticación federada]
[Origen del evento: Citrix.Fas.PkiCore]
Estos eventos se registran cuando el servidor de FAS realiza operaciones criptográficas de bajo nivel.
Códigos de registros |
---|
[S001] TrustArea::TrustArea: Installed certificate [TrustArea: {0}] [Certificate {1} TrustAreaJoinParameters{2} |
[S014] Pkcs10Request::Create: Created PKCS10 request [Distinguished Name {0}] |
[S016] PrivateKey::Create [Identifier {0} MachineWide: {1} Provider: {2} ProviderType: {3}EllipticCurve: {4} KeyLength: {5} isExportable: {6}] |
[S017] PrivateKey::Delete [CspName: {0}, Identifier {1}] |
Códigos de registros |
---|
[S104] MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0} |
[S105] MicrosoftCertificateAuthority::SubmitCertificateRequest Error submit response [{0}] |
[S106] MicrosoftCertificateAuthority::SubmitCertificateRequest Issued certificate [{0}] |
[S112] MicrosoftCertificateAuthority::SubmitCertificateRequest - Waiting for approval [CR_DISP_UNDER_SUBMISSION] [Reference: {0}] |
Información relacionada
- Las implementaciones más comunes de FAS se resumen en Arquitecturas de implementación.
- En Configuración avanzada, se presentan artículos de procedimientos.
En este artículo
- Secuencia de instalación y configuración
- Instalar el Servicio de autenticación federada
- Habilitar el plug-in de FAS en servidores de StoreFront
- Configurar el Delivery Controller
- Configurar la directiva de grupo
- Usar la consola de administración de los Servicios de autenticación federada
- Implementar plantillas de certificado
- Configurar los Servicios de certificados de Active Directory
- Autorizar el Servicio de autenticación federada
- Configurar reglas de usuario
- Consideraciones sobre la actualización
- Consideraciones sobre seguridad
- SDK de PowerShell
- Contadores de rendimiento
- Registros de eventos
- Información relacionada