Linux Virtual Delivery Agent

Configurar el Servicio de autenticación federada

April 10, 2026

Contribución de:

C C

Puedes usar el Servicio de autenticación federada (FAS) para autenticar a los usuarios que inician sesión en un VDA de Linux. El VDA de Linux utiliza el mismo entorno de Windows que el VDA de Windows para la función de inicio de sesión de FAS. Para obtener información sobre cómo configurar el entorno de Windows para FAS, consulta Servicio de autenticación federada. Este artículo proporciona información adicional específica para el VDA de Linux.

Nota

El VDA de Linux no admite la directiva de Comportamiento en la sesión.

El VDA de Linux utiliza conexiones cortas para transmitir datos con los servidores FAS.

El VDA de Linux se comunica con los servidores FAS solo a través del puerto 80.

Distribuciones compatibles

FAS admite plataformas Linux y métodos de integración de AD limitados. Consulta la siguiente matriz:

	Winbind	SSSD	Centrify	PBIS	Quest
Amazon Linux 2	Sí	Sí	Sí	Sí	No
RHEL 8.10	Sí	Sí	Sí	Sí	Sí
RHEL 8.8	Sí	Sí	Sí	Sí	Sí
RHEL 8.6	Sí	Sí	Sí	Sí	Sí
RHEL 8.4	Sí	Sí	Sí	Sí	Sí
RHEL 8.3	Sí	Sí	Sí	Sí	Sí
RHEL 8.2	Sí	Sí	Sí	Sí	Sí
RHEL 8.1	Sí	Sí	Sí	Sí	Sí
RHEL 7.9 / CentOS 7.9	Sí	Sí	Sí	Sí	Sí
RHEL 7.8 / CentOS 7.8	Sí	Sí	Sí	Sí	Sí
Rocky Linux 8.10/8.8/8.6	Sí	Sí	No	No	No
SLES 15.3	Sí	No	Sí	No	Sí
SLES 15.2	Sí	No	Sí	No	Sí
SLES 12.5	Sí	No	Sí	No	No
Ubuntu 20.04	Sí	No	Sí	No	Sí
Ubuntu 18.04	Sí	No	Sí	No	Sí

Configurar FAS en el VDA de Linux

Configurar servidores FAS

Para usar FAS en una instalación nueva del VDA de Linux, escribe el FQDN de cada servidor FAS al ejecutar ctxinstall.sh o ctxsetup.sh. Como el VDA de Linux no admite la directiva de grupo de AD, puedes proporcionar una lista de servidores FAS separada por punto y coma. Si se elimina alguna dirección de servidor, rellena su espacio en blanco con la cadena de texto <none> y no modifiques el orden de las direcciones de los servidores.

Para actualizar una instalación existente del VDA de Linux, puedes volver a ejecutar ctxsetup.sh para configurar los servidores FAS. O puedes ejecutar los siguientes comandos para configurar los servidores FAS y reiniciar el servicio ctxvda para que la configuración surta efecto.

sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -t "REG_SZ" -v "Addresses" -d "<Your-FAS-Server-List>" --force

service ctxjproxy restart

service ctxvda restart
<!--NeedCopy-->

Para actualizar los servidores FAS a través de ctxreg, ejecuta los siguientes comandos:

sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService" -v "Addresses" -d "<Your-FAS-Server-List>"

service ctxjproxy restart

service ctxvda restart
<!--NeedCopy-->

Instalar certificados

Para la verificación de los certificados de los usuarios, instala el certificado de CA raíz y todos los certificados intermedios en el VDA. Por ejemplo, para instalar el certificado de CA raíz, obtén el certificado raíz de AD del paso anterior Recuperar el certificado de CA de la CA de Microsoft (en AD), o descarga su formato DER del servidor de CA raíz http://CA-SERVER/certsrv.

Nota:

Los siguientes comandos también se aplican a la configuración de un certificado intermedio.

Convierte un archivo DER (.crt, .cer, .der) a PEM ejecutando un comando similar al siguiente:

sudo openssl x509 -inform der -in root.cer -out root.pem
<!--NeedCopy-->

Luego, instala el certificado de CA raíz en el directorio openssl ejecutando un comando similar al siguiente:

sudo cp root.pem /etc/pki/CA/certs/
<!--NeedCopy-->

Nota:

No coloques el certificado de CA raíz en la ruta /root. De lo contrario, FAS no tendrá permiso de lectura para el certificado de CA raíz.

Ejecutar ctxfascfg.sh

Ejecuta el script ctxfascfg.sh para configurar FAS:

sudo /opt/Citrix/VDA/sbin/ctxfascfg.sh
<!--NeedCopy-->

Se agregan variables de entorno para que ctxfascfg.sh se pueda ejecutar en modo silencioso:

CTX_FAS_ADINTEGRATIONWAY=winbind | sssd | centrify | pbis | quest: Indica el método de integración de Active Directory, que es igual a CTX_EASYINSTALL_ADINTEGRATIONWAY cuando se especifica CTX_EASYINSTALL_ADINTEGRATIONWAY. Si no se especifica CTX_EASYINSTALL_ADINTEGRATIONWAY, CTX_FAS_ADINTEGRATIONWAY utiliza su propia configuración de valor.
CTX_FAS_CERT_PATH =<certificate path>: Especifica la ruta completa donde se almacenan el certificado raíz y todos los certificados intermedios.
CTX_FAS_KDC_HOSTNAME: Especifica el nombre de host del Centro de distribución de claves (KDC) cuando seleccionas PBIS.
CTX_FAS_PKINIT_KDC_HOSTNAME: Especifica el nombre de host del KDC de PKINIT, que es igual a CTX_FAS_KDC_HOSTNAME a menos que se especifique lo contrario.

Elige el método de integración de Active Directory correcto y, a continuación, escribe la ruta correcta de los certificados (por ejemplo, /etc/pki/CA/certs/).

El script instala los paquetes krb5-pkinit y pam_krb5 y configura los archivos de configuración relevantes.

Limitación

FAS aún no admite la pantalla de bloqueo. Si haces clic en el botón de bloqueo en una sesión, no podrás volver a iniciar sesión en la sesión usando FAS.
Esta versión solo admite las implementaciones comunes de FAS resumidas en el artículo Descripción general de la arquitectura del Servicio de autenticación federada y no incluye Windows 10 Azure AD Join.

Solución de problemas

Antes de solucionar problemas de FAS, asegúrate de que el VDA de Linux esté instalado y configurado correctamente y de que se pueda iniciar una sesión que no sea de FAS correctamente en el almacén común mediante autenticación con contraseña.

Si las sesiones que no son de FAS funcionan correctamente, establece el nivel de registro HDX de la clase Login en VERBOSE y el nivel de registro del VDA en TRACE. Para obtener información sobre cómo habilitar el registro de seguimiento para el VDA de Linux, consulta el artículo del Centro de conocimientos CTX220130.

Error de configuración del servidor FAS

El inicio de una sesión desde el almacén FAS falla.

Comprueba /var/log/xdl/hdx.log y busca el registro de errores similar al siguiente:

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: validate_user: [Logon Type] Federated Authentication Logon.

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: validate_fas: entry

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: connect_fas: start connect to server 0

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: connect_fas0: failed to connect: Connection refused.

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: validate_fas: failed to connect to server [0], please confirm if fas service list is well configurated in condb

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: validate_fas: exit, 43

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: validate_user: failed to validate fas credential

2021-01-28 01:42:16.164 <P26422:S4> citrix-ctxlogin: LoginBoxValidate: failed validation of user 'user1@CTXDEV.LOCAL', INVALID_PARAMETER

<!--NeedCopy-->

Solución

Ejecuta el siguiente comando para verificar que el valor del registro de Citrix “HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent\Authentication\UserCredentialService” esté establecido en <Tu-Lista-de-Servidores-FAS>.

sudo /opt/Citrix/VDA/bin/ctxreg dump | grep "UserCredentialService"
<!--NeedCopy-->

Si la configuración existente es incorrecta, sigue el paso anterior Configurar servidores FAS para configurarla de nuevo.

Configuración incorrecta del certificado de CA

El inicio de una sesión desde el almacén FAS falla. Aparece una ventana gris y desaparece varios segundos después.

Inicio de sesión no válido debido a una configuración incorrecta del certificado de CA raíz

Comprueba /var/log/xdl/hdx.log y busca el registro de errores similar al siguiente:

2021-01-28 01:47:46.210 <P30656:S5> citrix-ctxlogin: get_logon_certificate: entry

2021-01-28 01:47:46.210 <P30656:S5> citrix-ctxlogin: check_caller: current process: pid [30656], name [/opt/Citrix/VDA/bin/ctxlogin]

2021-01-28 01:47:46.210 <P30656:S5> citrix-ctxlogin: get_public_certificate: entry

2021-01-28 01:47:46.211 <P30656:S5> citrix-ctxlogin: query_fas: waiting for response...

2021-01-28 01:47:46.270 <P30656:S5> citrix-ctxlogin: query_fas: query to server success

2021-01-28 01:47:46.270 <P30656:S5> citrix-ctxlogin: get_public_certificate: exit

2021-01-28 01:47:46.270 <P30656:S5> citrix-ctxlogin: fas_base64_decode: input size 1888

2021-01-28 01:47:46.271 <P30656:S5> citrix-ctxlogin: fas_base64_decode: output size 1415

2021-01-28 01:47:46.271 <P30656:S5> citrix-ctxlogin: get_logon_certificate: get logon certificate success

2021-01-28 01:47:46.271 <P30656:S5> citrix-ctxlogin: cache_certificate: cache certificate success

2021-01-28 01:47:46.271 <P30656:S5> citrix-ctxlogin: get_logon_certificate: exit, 0

2021-01-28 01:47:48.060 <P30656:S5> citrix-ctxlogin: validate_user: pam_authenticate err,can retry for user user1@CTXDEV.LOCAL
<!--NeedCopy-->

Solución

Verifica que hayas configurado correctamente en /etc/krb5.conf la ruta completa donde se almacenan el certificado de CA raíz y todos los certificados intermedios. La ruta completa es similar a la siguiente:

 [realms]

EXAMPLE.COM = {

    ......

    pkinit_anchors = DIR:/etc/pki/CA/certs/

    ......

}  
<!--NeedCopy-->

Si la configuración existente es incorrecta, sigue el paso anterior Instalar certificados para configurarla de nuevo.

Alternativamente, comprueba si el certificado de CA raíz es válido.

Error de asignación de cuenta de sombra

FAS está configurado mediante autenticación SAML. El siguiente error puede ocurrir después de que un usuario de ADFS introduzca el nombre de usuario y la contraseña en la página de inicio de sesión de ADFS.

Error de asignación de cuenta de sombra

Este error indica que el usuario de ADFS se ha verificado correctamente, pero no hay ningún usuario de sombra configurado en AD.

Solución

Configura la cuenta de sombra en AD.

ADFS no configurado

El siguiente error ocurre durante un intento de inicio de sesión en el almacén FAS:

ADFS no configurado

El problema ocurre cuando el almacén FAS está configurado para usar la autenticación SAML, pero falta la implementación de ADFS.

Solución

Implemente el IdP de ADFS para el Servicio de autenticación federada. Para obtener más información, consulte Implementación de ADFS del Servicio de autenticación federada.

Información relacionada

Las implementaciones comunes de FAS se resumen en el artículo Arquitecturas de implementación.
Los artículos “Cómo hacer” se presentan en el capítulo Configuración avanzada del Servicio de autenticación federada.

Problema conocido

Cuando FAS está en uso, puede fallar al intentar iniciar una sesión de escritorio o aplicación publicada con caracteres no ingleses.

Error al iniciar sesiones con caracteres no ingleses

Solución alternativa

Haga clic con el botón derecho en Administrar plantillas en la herramienta de CA para cambiar la plantilla Citrix_SmartcardLogon de Crear a partir de esta información de Active Directory a Suministrar en la solicitud:

La opción de suministrar en la solicitud

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Configurar el Servicio de autenticación federada

April 10, 2026

Contribución de:

C C

April 10, 2026

Contribución de:

C C

¿Le ha resultado útil?